8月30日凌晨,针对用友畅捷通T+软件客户遭受勒索病毒攻击一事,畅捷通方面在官方微信公号“畅捷通”发布了相关说明,称仅有少数客户受到影响,公司已安排技术工程师和服务商协助客户解决问题。
有消息称广联达、金蝶、管家婆、致远等软件公司用户也被勒索病毒攻击,目前这些公司未对外发官方说明。针对此事记者采访了广联达,截至发稿未有回复。
8月29日,有不少用户反馈电脑里用友畅捷通T+中了勒索病毒,被病毒攻击之后,文件被锁无法打开。一位电脑被勒索病毒攻击的用户对经济观察网表示,中了勒索病毒后要求是支付0.2个比特币(约27439元人民币)。这位被病毒攻击用户反馈,目前除了用友畅捷通软件相关的文件,其他软件文件还能打开。
电脑安全软件开发商火绒安全软件旗下的火绒安全实验室报告显示,火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。
火绒安全实验室告诉经济观察网记者,28号通过火绒威胁情报系统发现该病毒开始传播,“在被投毒的现场中看到,后门病毒模块位于用友畅捷通T+软件的bin目录中。目前中毒终端数量超过2000台,数量仍在上升。”
360安全卫士8月29日下午发布的勒索病毒的相关情报分析显示,自2022年8月28日起发现勒索病毒,目前确认来自该勒索病毒的攻击案例已超2000余例,且数量仍在不断上涨。
对于此次用户被勒索病毒攻击事件,经济观察网向公开的用友董秘邮箱发送了采访邀约,截至发稿未收到回复。董秘/投资者电话热线工作人员表示,此事相关回应以畅捷通微信公号发布的内容为主。畅捷通发布的说明显示,经核实,部分客户的软件服务器为客户自有部署方式,且未做必要的网络安全防护。其中日常按系统提示进行了数据备份的客户已经通过恢复备份数据解决,仅有少数客户受到影响,公司已经安排技术工程师和服务商积极协助客户解决问题。
用友畅捷通官方说明
上述电脑被勒索病毒攻击的用户表示,今天凌晨用友畅捷通T+的各个版本都有更新补丁,但是对于已经中毒的用户问题还没有解决,中毒的文件目前还无法打开。
对于已经中毒的用户,火绒安全实验室建议,首先隔离已经被勒索的终端环境,保存被加密的文件,避免进行格式化、重装系统等操作,避免影响后续恢复文件;排查被攻击的原因,通过日志信息进行溯源及已经受到攻击的和未受到攻击终端的网络拓扑图等特征;对内网一些重要的数据服务器进行排查,是否存在被攻击现象;及时修改局域网中其他终端的设备口令以及软件口令;及时更新软件和系统以及打漏洞补丁。