勒索軟件疑似借助用友暢捷通T+傳播 可能是供應鏈攻擊 請企業警惕

即黑客可能使用某些方式劫持用友暢捷通 T+ 升級模塊，導致用戶嘗試更新升級將后門模塊下載到本地執行。

目前用友并未就該問題發布聲明 , 因此還無法確定到底是供應鏈攻擊還是通過其他方式劫持導致企業中毒的。

企業用戶應提高警惕：

使用用友暢捷通的主要都是企業，而且存儲的可能都是財務之類的重要信息，中毒后被加密可能會有大麻煩。

火絨經過研究發現黑客首先會通過漏洞或其他方式向受害者終端投放后門模塊，然后通過后門模塊執行代碼。

之后通過后門模塊在內存中加載并執行勒索病毒，當文件被加密后黑客在勒索信里要求企業支付 0.2 比特幣。

該病毒被命名為FakeTplus，也就是根據用友暢捷通T+來命名的，目前火絨安全軟件已經可以成功查殺病毒。

使用暢捷通的企業可以在升級前安裝火絨殺毒，這樣如果升級時仍然存在安全問題火絨會直接殺掉這個后門。

疑似有企業支付贖金：

藍點網查詢火絨提供的勒索信，發現里面黑客留的地址已經開始有交易記錄，交易記錄時間與病毒投放吻合。

該地址有4次交易記錄，有1次是筆0.2 BTC 轉賬，這意味著已經有受害企業向黑客支付贖金以換取解密密鑰。

考慮到黑客可能會給每個受害者留不同的地址因此更難以追查，也無法判斷黑客到目前已經收到多少比特幣。