3月13日,火絨接到多個企業求助,在安裝完“通達OA系統”某插件後,服務器內文件被病毒加密。火絨工程師緊急遠程查看後,最終在用戶的“通達OA”目錄中發現一個使用Go語言編寫的勒索病毒。根據上述跡象,火絨提醒“通達OA系統”用戶注意加強安全防護,及時備份資料。目前,火絨最新版可對該勒索病毒進行攔截查殺,防止被該勒索病毒攻擊。
根據分析,該勒索病毒在進入用戶系統後會自動運行,並會嘗試結束mysql.exe進程,再對.mdb、.sqlitedb、.doc、.docx、.xls、.xlsx、.ppt、.pptx等180種數據文件進行加密。
文件被加密後末尾被添加"1",並會在桌面生成文件名為"readme_readme_readme.txt"的勒索信,並索要0.3個比特幣。
圖:被加密的文件後綴名
圖:勒索信內容
最後,火絨將會持續關注該事件,用戶如遇上述問題可隨時向我們求助;此外,通達OA的用戶也可以關注通達OA官網與社區,以獲取官方建議與解決方案。
分享到:
閱讀更多 火絨安全實驗室 的文章
