畅捷通T+中.WXROR勒索病毒了怎么办？

国产财务管理软件遭到勒索软件的攻击了怎么办？

攻击来源

根据安全人员的远程排查，目前可以确认此次勒索攻击利用了某客户关系管理（CRM）系统的漏洞，通过漏洞执行恶意命令并加密文件。下图是进程树截图。

通过分析勒索病毒留下的提示信息，该病毒与之前流行的TellYouThePass勒索病毒为关联家族，可能就是TellYouThePass的最新变种。该勒索软件向受害者索要0.2比特币（目前大概相当于27,439人民币）的赎金。下图是勒索信截图。

相关漏洞情况

根据威胁情报监测，勒索攻击的源头疑似为某流行企业财务管理软件中潜在的0day漏洞。通过对其官方已发布的补丁和漏洞细节进行反复对比，确认此漏洞尚无补丁，为0day漏洞。相关漏洞为Web类漏洞，漏洞触发效果为RCE，漏洞触发过程为反序列化远程代码执行。

相关勒索软件情况

TellYouThePass勒索软件于2019年首次披露，是一款以牟取经济利益为目的的勒索软件，攻击者旨在加密文件并要求付费恢复文件。该软件使用Golang语言开发 ，使其更容易跨平台攻击更多不同类型的操作系统，尤其是macOS和Linux。2022年初，TellYouThePass与Apache Log4j（CVE-2021-44228）远程执行漏洞利用代码（Log4Shell）一起使用，开展勒索攻击活动。

值得一提的是，通过与攻击者的沟通邮件可以判定对方也是中文使用者，沟通全程使用中文进行对话，且语句非常自然。

相关勒索攻击实例

据白泽安全实验室的威胁情报监测，火绒安全实验室披露了一起相关勒索攻击实例。攻击者疑似借助用友畅捷通T+传播勒索病毒模块（FakeTplus病毒）。病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近，不排除黑客通过供应链污染或漏洞的方式进行投毒，如下图所示。

火绒安全研究人员发现，攻击者首先通过漏洞或其他方式向受害者终端投放后门病毒模块；然后通过访问后门模块（Load.aspx）来执行任意恶意模块（恶意模块数据被AES算法加密）；最后通过后门模块在内存中加载执行勒索病毒。在攻击实例中可以发现，后门病毒模块位于用友畅捷通T+软件的bin目录中，相关文件情况如下图所示。