国内多家企业OA系统服务器遭勒索病毒攻击

华盟原创文章投稿奖励计划

3月13日,国内办公软件厂商通达OA在官方论坛发布紧急公告称,有部分用户的OA服务器遭到网络攻击,服务器上文件被重命名加密,并有勒索病毒提示。

紧急通知

今天我们发现部分用户的OA服务器遭到了攻击,访问时有如下伪装成我们OA系统页面的提示:

国内多家企业OA系统服务器遭勒索病毒攻击

并且服务器上文件被重命名加密,且有勒索病毒说明:

国内多家企业OA系统服务器遭勒索病毒攻击

在此,请所有未受影响的客户尽可能的将服务器断开互联网,并立即备份数据,且做好异地备份。

已经出现上述页面的请一定不要点击下载。如果已经受到攻击,请联系我们售后团队,尽量恢复备份数据

我们正在寻找更好的解决方案,帮助用户恢复系统。

3月13日晚上,通达OA再次发布公告,提供了修复建议:

通达OA产品团队紧急制作了针对勒索病毒的安全加固程序。请广大用户立即下载更新:

V11版:http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe
2017版:http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe
2016版:http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe
2015版:http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe
2013增强版:http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe
2013版:http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

提醒:请根据当前OA版本选择所对应的程序文件,运行前请先做好备份,如不确定,请联系我们售后团队协助处理。

根据安全厂商火绒安全的分析,该勒索病毒由Go语言编写,在进入用户系统后会自动运行,并会尝试结束mysql.exe进程,再对.mdb、.sqlitedb、.doc、 .docx、.xls、 .xlsx、.ppt、.pptx等180种数据文件进行加密。

国内多家企业OA系统服务器遭勒索病毒攻击

文件被加密后末尾被添加"1",并会在桌面生成文件名为
"readme_readme_readme.txt"的勒索信,并索要0.3个比特币。

安全内参建议使用通达OA的企业,近期多关注官方公告,做好安全防护和数据备份措施。

本文来源互联网安全内参,经授权后由SIREN发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论