動態：勒索病毒規模攻擊用友暢捷通用戶，中毒終端超2000臺仍在上升

(資料圖)

經濟觀察網 記者 周應梅 8月30日凌晨，針對用友暢捷通T+軟件客戶遭受勒索病毒攻擊一事，暢捷通方面在官方微信公號“暢捷通”發布了相關說明，稱僅有少數客戶受到影響，公司已安排技術工程師和服務商協助客戶解決問題。

有消息稱廣聯達(002410)、金蝶、管家婆、致遠等軟件公司用戶也被勒索病毒攻擊，目前這些公司未對外發官方說明。針對此事記者采訪了廣聯達，截至發稿未有回復。

8月29日，有不少用戶反饋電腦里用友暢捷通T+中了勒索病毒，被病毒攻擊之后，文件被鎖無法打開。一位電腦被勒索病毒攻擊的用戶對經濟觀察網表示，中了勒索病毒后要求是支付0.2個比特幣（約27439元人民幣）。這位被病毒攻擊用戶反饋，目前除了用友暢捷通軟件相關的文件，其他軟件文件還能打開。

電腦安全軟件開發商火絨安全軟件旗下的火絨安全實驗室報告顯示，火絨工程師排查某勒索現場時發現，病毒模塊的投放時間與受害者使用的用友暢捷通T+軟件模塊升級時間相近，不排除黑客通過供應鏈污染或漏洞的方式進行投毒。

火絨安全實驗室告訴經濟觀察網記者，28號通過火絨威脅情報系統發現該病毒開始傳播，“在被投毒的現場中看到，后門病毒模塊位于用友暢捷通T+軟件的bin目錄中。目前中毒終端數量超過2000臺，數量仍在上升。”

360安全衛士8月29日下午發布的勒索病毒的相關情報分析顯示，自2022年8月28日起發現勒索病毒，目前確認來自該勒索病毒的攻擊案例已超2000余例，且數量仍在不斷上漲。

對于此次用戶被勒索病毒攻擊事件，經濟觀察網向公開的用友董秘郵箱發送了采訪邀約，截至發稿未收到回復。董秘/投資者電話熱線工作人員表示，此事相關回應以暢捷通微信公號發布的內容為主。暢捷通發布的說明顯示，經核實，部分客戶的軟件服務器為客戶自有部署方式，且未做必要的網絡安全防護。其中日常按系統提示進行了數據備份的客戶已經通過恢復備份數據解決，僅有少數客戶受到影響，公司已經安排技術工程師和服務商積極協助客戶解決問題。

用友暢捷通官方說明

上述電腦被勒索病毒攻擊的用戶表示，今天凌晨用友暢捷通T+的各個版本都有更新補丁，但是對于已經中毒的用戶問題還沒有解決，中毒的文件目前還無法打開。

對于已經中毒的用戶，火絨安全實驗室建議，首先隔離已經被勒索的終端環境，保存被加密的文件，避免進行格式化、重裝系統等操作，避免影響后續恢復文件；排查被攻擊的原因，通過日志信息進行溯源及已經受到攻擊的和未受到攻擊終端的網絡拓撲圖等特征；對內網一些重要的數據服務器進行排查,是否存在被攻擊現象；及時修改局域網中其他終端的設備口令以及軟件口令；及時更新軟件和系統以及打漏洞補丁。