2021-11-13 17:16:31
3月13日,天鹅绒得到了很多企业的帮助。在安装了通达OA系统的一个插件后,服务器中的文件被病毒加密。经过天鹅绒工程师的紧急远程检查,最终在用户的“通达OA”目录中找到了一个用Go语言编写的ransomware。根据以上迹象,Velvet提醒通达OA系统用户注意加强安全防护,及时备份数据。目前最新版本的Velvet可以拦截并杀死ransomware,防止被ransomware攻击。
根据分析,ransomware在进入用户系统后会自动运行,并会尝试结束mysql.exe进程,然后加密等180种数据文件。mdb,sqlitedb,医生。docx,xlsx,pptx等。
加密文件末尾添加“1”,桌面上会生成一封名为“readme_readme_readme.txt”的勒索信,并索要0.3个比特币。
图:加密文件后缀名称
图:勒索信内容
最后,Velvet会继续关注此事件,用户遇到上述问题可以随时向我们求助。此外,通达OA的用户还可以关注通达OA官网和社区,获得官方的建议和解决方案。
