昨日，疑似以用友为代表的国产财务管理软件遭到勒索软件的攻击。此次攻击为无差别攻击，已知涉及的应用包括广联达、管家婆，用友、金蝶、致远.....

据白泽安全实验室的威胁情报监测，360安全响应中心首先收到用户反馈称“计算机文件被.locked后缀的勒索病毒加密”。此次攻击从8月28日21时30分左右开始，一直持续到 8 月 29 日 1 时左右，截至29号，研究人员已经确认来自该勒索病毒的攻击案例已超2000余例，且该数量仍在不断上涨。据统计国内受影响的省份包括：北京，上海，山东，江苏，浙江、广东、安徽、四川、福建、河北等地。下图是勒索提示信息截图。

攻击来源

根据安全人员的远程排查，目前可以确认此次勒索攻击利用了某客户关系管理（CRM）系统的漏洞，通过漏洞执行恶意命令并加密文件。下图是进程树截图。

通过分析勒索病毒留下的提示信息，该病毒与之前流行的TellYouThePass勒索病毒为关联家族，可能就是TellYouThePass的最新变种。该勒索软件向受害者索要0.2比特币（目前大概相当于27,439人民币）的赎金。下图是勒索信截图。

相关漏洞情况

根据威胁情报监测，勒索攻击的源头疑似为某流行企业财务管理软件中潜在的0day漏洞。通过对其官方已发布的补丁和漏洞细节进行反复对比，确认此漏洞尚无补丁，为0day漏洞。相关漏洞为Web类漏洞，漏洞触发效果为RCE，漏洞触发过程为反序列化远程代码执行。

相关勒索软件情况

 TellYouThePass勒索软件于2019年首次披露，是一款以牟取经济利益为目的的勒索软件，攻击者旨在加密文件并要求付费恢复文件。该软件使用Golang语言开发 ，使其更容易跨平台攻击更多不同类型的操作系统，尤其是macOS和Linux。2022年初，TellYouThePass与Apache Log4j（CVE-2021-44228）远程执行漏洞利用代码（Log4Shell）一起使用，开展勒索攻击活动。

值得一提的是，通过与攻击者的沟通邮件可以判定对方也是中文使用者，沟通全程使用中文进行对话，且语句非常自然。

相关勒索攻击实例

据白泽安全实验室的威胁情报监测，火绒安全实验室披露了一起相关勒索攻击实例。攻击者疑似借助用友畅捷通T+传播勒索病毒模块（FakeTplus病毒）。病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近，不排除黑客通过供应链污染或漏洞的方式进行投毒，如下图所示。

火绒安全研究人员发现，攻击者首先通过漏洞或其他方式向受害者终端投放后门病毒模块；然后通过访问后门模块（Load.aspx）来执行任意恶意模块（恶意模块数据被AES算法加密）；最后通过后门模块在内存中加载执行勒索病毒。在攻击实例中可以发现，后门病毒模块位于用友畅捷通T+软件的bin目录中，相关文件情况如下图所示。