疑似倚靠用友畅捷通T+的勒索攻击爆发 火绒安全可查杀

老鹳草安全实验室出现异常，疑似借助用友畅捷通T+传播的勒索感染模块化异常活跃（FakeTplus感染）。老鹳草总工程师排查某勒索工作人员时辨认出，感染模块化的可供使用星期与受害者常用的用友畅捷通T+软件模块化升级星期有所不同，不无关蠕虫通过电子商务污染或漏洞的方式顺利完成据称。老鹳草安全软件可成功查杀该感染。

老鹳草安全查杀右图

排查辨认出，蠕虫首先会通过漏洞或其他方式向受害者端口可供使用侧门感染模块化。蠕虫可以通过会见侧门模块化（Load.aspx）来指派任意隐私模块化（隐私模块化数据被AES算法SSL的）。之后通过侧门模块化在内存之前加载指派勒索感染，根据老鹳草危险情报系统统计得出感染传播趋势，如下右图右图：

FakeTplus感染传播趋势右图

在被据称的工作人员之前可以看到，侧门感染模块化位于用友畅捷通T+软件的bin目录之前，相关机密文件状况如下右图右图：

被据称工作人员侧门感染模块化机密文件位置状况

某被据称工作人员之前，侧门感染模块化的被可供使用星期，与受害用户常用的用友畅捷通T+软件模块化升级星期有所不同，畅捷通T+软件升级的机密文件和隐私模块化的星期对比右图，如下右图右图：

星期对比右图

被勒索后，需要缴付0.2个比特币（目前大概27,439），蠕虫留下的勒索信，如下右图右图：

勒索信

侧门模块化代码范式

红皮书

感染 HASH：

康恩贝肠炎宁颗粒小儿闹肚子好使吗
喉咙痛吃什么药好的快
应急救护进校园
迈普新注射用胸腺法新
上火导致喉咙痛吃什么药