国内多家企业OA系统服务器遭勒索病毒攻击

作者:安数网络 发布时间:2020-03-18 15:18:14 浏览次数:19

3月13日,国内办公软件厂商通达OA在官方论坛发布紧急公告称,有部分用户的OA服务器遭到网络攻击,服务器上文件被重命名加密,并有勒索病毒提示。

紧急通知

今天我们发现部分用户的OA服务器遭到了攻击,访问时有如下伪装成我们OA系统页面的提示:

并且服务器上文件被重命名加密,且有勒索病毒说明:

在此,请所有未受影响的客户尽可能的将服务器断开互联网,并立即备份数据,且做好异地备份。

已经出现上述页面的请一定不要点击下载。如果已经受到攻击,请联系我们售后团队,尽量恢复备份数据。

我们正在寻找更好的解决方案,帮助用户恢复系统。


3月13日晚上,通达OA再次发布公告,提供了修复建议:

通达OA产品团队紧急制作了针对勒索病毒的安全加固程序。请广大用户立即下载更新:

V11版:

http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe

2017版:

http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe

2016版:

http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe

2015版:

http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe

2013增强版:

http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe

2013版:

http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

提醒:请根据当前OA版本选择所对应的程序文件,运行前请先做好备份,如不确定,请联系我们售后团队协助处理。


根据安全厂商火绒安全的分析,该勒索病毒由Go语言编写,在进入用户系统后会自动运行,并会尝试结束mysql.exe进程,再对.mdb、.sqlitedb、.doc、 .docx、.xls、 .xlsx、.ppt、.pptx等180种数据文件进行加密。

文件被加密后末尾被添加"1",并会在桌面生成文件名为

"readme_readme_readme.txt"的勒索信,并索要0.3个比特币。

建议使用通达OA的企业,近期多关注官方公告,做好安全防护和数据备份措施。


来源:互联网安全内参

及时掌握网络安全态势 尽在傻蛋联网设备搜索系统

【网络安全监管部门】免费试用