8月28日起，一條“某流行企業財務軟件0day漏洞或被大規模勒索利用”的消息，在行業內開始流傳。

29日，有用戶在微博爆料稱，用友旗下專注于小微企業云服務暢捷通T+大面積出現勒索病毒。在安全廠商與與用戶壓力下，用友暢捷通在29日發布公告“回應”，承認有用戶受到攻擊。有用友暢捷通企業客戶重要文件被勒索病毒加密，且用友方面也無法解密，被迫支付了0.2比特幣（相當于27439元人民幣）的“贖金”。

據悉，“暢捷通T+”是一款“人財貨客”一體化管理軟件，主要功能是針對中小型工貿和商貿企業的財務業務一體化應用，其官網顯示，軟件業務付費用戶超過131萬，涉及食品、家裝建材、商貿、電子、化工、軟件服務、廣告傳媒等諸多行業。

中“毒”企業被索要0.2比特幣才能解密

自2022年08月28日起，確認來自該勒索病毒的攻擊案例已超2000余例，且該數量仍在不斷上漲。據考證，本次遭遇勒索病毒攻擊的對象主要為CRM（Customer Relationship Management客戶關系管理系統）廠商，包含“用友”及旗下“暢捷通”等管理軟件。中招該病毒計算機文件被病毒加密，需支付0.2比特幣“贖金”（約2.7萬人民幣）方可解密。此次攻擊受影響的省份包括北京，上海，山東，江蘇，浙江、廣東、安徽、四川、福建、河北等地。

用友暢捷通與用戶各執一詞

用友網絡和暢捷通在勒索病毒事件的“回應”公告中稱，部分客戶的軟件服務器為客戶自有部署方式，且未做必要的網絡安全防護。其中，日常按系統提示進行了數據備份的客戶已通過恢復備份數據解決，僅有少數客戶受到影響，公司已安排技術工程師和服務商積極協助客戶解決問題，并建議客戶升級公有云服務或采用云管家等云部署方式。

據了解，暢捷通系列管理軟件擁有“云部署”和“自有部署”兩種方式，前者部署主要在阿里云、華為云、騰訊云等各類公有云平臺上，后者安裝軟件后數據存儲在本地。

“本地部署的需要安裝APP和數據庫，數據文件是儲存在本地數據庫里的，要升級軟件更新版本需要重新安裝，云端的產品用的是總服務器，租用的是阿里云的服務器，數據是儲存在云端的，且不需要固定登錄地點以及限制，軟件后臺是自動升級?！笔矍翱头绱私榻B道兩者間區別。

采用自有部署的客戶本地數據被勒索病毒攻擊，按照用友聲明中建議，若想升級公有云服務只能“重新購買”，“升級只能升本地最新軟件，不做回收，數據可以導入”暢捷通客服這樣回應。

記者查閱暢捷通T+的云端升級版“T+CLOUD”售價發現，該軟件可供30個用戶使用的一套按年計費，在選擇頁面顯示所有產品模塊后售價超8萬余萬，售前客服表示“云端安全維護不收費，不額外收費”。

但是對于用友暢捷通的回應，被影響客戶并不認同。

“用友的公告就是甩鍋。”一家“中招”的用戶用友暢捷通在接受記者采訪時表示，其所在公司使用的軟件是暢捷通T+版本，病毒模塊的投放時間與用友暢捷通T+軟件模塊升級時間相近，不排除黑客通過供應鏈污染或漏洞的方式進行投毒。

“用友的公告未提及中毒用戶應該如何恢復數據。在我看來，有推卸責任之嫌?！币晃毁Y深計算機軟件專業人士也表示。

另一家受影響的用友暢捷通企業用戶無奈地告訴記者，公司已經付了贖金解密，“重要的文件都被加密，用友都沒辦法解密，我們能有什么辦法，只能付贖金”。據該網友介紹，即使繳納贖金，也并非完全有用，“我認識的一周前剛付費恢復，今天又被加密了，現在只能一天備份一次”。

一位網絡安全行業人士向記者表示，這次勒索病毒挑的對象是用友的T系列產品，這些產品面向的是中小企業，這些企業的服務器沒有什么專業的防護，本身就很容易中招。另一方面，勒索事件的爆發，說明用友這些產品本身可能就存在漏洞。

據一家第三方安全廠商分析，通過用友暢捷通T+的勒索病毒留下的提示信息判斷，該病毒與之前流行的TellYouThePass勒索病毒為關聯家族，可能就是TellYouThePass的最新變種。

TellYouThePass勒索軟件于2019年首次披露，是一款以牟取經濟利益為目的的勒索軟件，攻擊者旨在加密文件并要求付費恢復文件。

如何根治勒索病毒黑產

勒索病毒是最常見的網絡安全攻擊手法之一，已經由個人化演變為產業化，并形成一套成體系的產業鏈。國家互聯網數據中心產業技術創新戰略聯盟智庫專家顧黃亮表示，除了加強企業信息安全觀念，加固操作系統和應用系統，提升企業網絡層的安全防御水平之外，更重要的還是要對關鍵數據進行備份。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明