疑似借助畅捷通某款软件的勒索攻击爆发 火绒安全可查杀
本帖最后由 火绒安全实验室 于 2022-9-7 13:47 编辑火绒安全实验室监测,疑似借助畅捷通某款软件传播的勒索病毒模块异常活跃(FakeTplus病毒)。火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的畅捷通某款软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。
火绒安全查杀图
排查发现,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被AES算法加密的)。之后通过后门模块在内存中加载执行勒索病毒,根据火绒威胁情报系统统计得出病毒传播趋势,如下图所示:
FakeTplus病毒传播趋势图
在被投毒的现场中可以看到,后门病毒模块位于畅捷通某款软件的bin目录中,相关文件情况如下图所示:
被投毒现场后门病毒模块文件位置情况
某被投毒现场中,后门病毒模块的被投放时间,与受害用户使用的畅捷通某款软件模块升级时间相近,畅捷通某款软件更新的文件和恶意模块的时间对比图,如下图所示:
时间对比图
被勒索后,需要支付0.2个比特币(目前大概27439人民币),黑客留下的勒索信,如下图所示:
勒索信
后门模块代码逻辑
附录
病毒 HASH:
还好服务器用的是带备份的。还原了前一天的数据。完美搞定 我这边也是 ,已经安装火绒了 但是没有拦截成功 现在能解决这个病毒及产生的影响吗?朋友公司服务费上的文件都被加密,增加扩展名.locked 谢谢分享 很多会下载用友畅捷通T进行 会计软件训练 会计人前来学习 等待解决方案{:1_937:} 学习一下,谢谢大佬 我都不配被勒索 了解了,小心操作啊,谢了