勒索软件疑似通过用友畅捷通T+传播

根据火绒安全实验室发布的消息，火绒检测到一个突然爆发的勒索病毒，后门模块位于用友畅捷通T+软件目录下。 病毒爆发时间与用友畅捷通T+软件升级模块时间非常接近。 火绒安全实验室怀疑此次安全问题可能是供应链攻击。

即黑客可能通过某种方式劫持用友畅捷通T+升级模块，导致用户尝试在本地更新升级下载后门模块执行。

目前，用友未就此问题发表声明，因此尚无法确定是供应链攻击还是其他方式的劫持导致企业中毒。

企业用户更应提高警惕：

用友畅捷通的用户以企业为主，存储的信息可能是财务等重要信息。 如果中毒后加密，可能会造成大麻烦。

火绒通过研究发现火绒能查杀比特币勒索病毒，黑客会先通过漏洞或其他方式向受害终端启动后门模块，然后通过后门模块执行代码。

然后通过后门模块在内存中加载并执行勒索软件。 当文件被加密后，黑客在勒索信中要求该公司支付 0.2 个比特币。

该病毒名为FakeTplus，以用友畅捷通T+命名。 目前火绒安全软件可以成功查杀该病毒。

使用畅捷通的企业可以在升级前先安装火绒杀毒火绒能查杀比特币勒索病毒，这样如果在升级过程中仍然存在安全问题，火绒会直接查杀后门。

怀疑是一家公司支付了赎金：

蓝点网查询火绒提供的勒索信后发现，黑客留下的地址已经开始有交易记录，而且交易记录时间恰逢病毒上线。

该地址有4笔交易记录，其中一笔是0.2 BTC的转账，这意味着受害公司已经向黑客支付了赎金以换取解密密钥。

考虑到黑客可能会为每个受害者留下不同的地址，追查难度较大，目前无法确定黑客目前收到了多少比特币。