[font=-apple-system, BlinkMacSystemFont, "]火绒安全实验室监测,疑似借助用友畅捷通[font=-apple-system, BlinkMacSystemFont, "]T+[font=-apple-system, BlinkMacSystemFont, "]传播的勒索病毒模块异常活跃([font=-apple-system, BlinkMacSystemFont, "]FakeTplus[font=-apple-system, BlinkMacSystemFont, "]病毒)。火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的用友畅捷通[font=-apple-system, BlinkMacSystemFont, "]T+[font=-apple-system, BlinkMacSystemFont, "]软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。[font=&]火绒安全查杀图
[font=&]
[font=&]排查发现,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(
FakeTplus[font=&]病毒传播趋势图
[font=&]
[font=-apple-system, BlinkMacSystemFont, "][font=&]在被投毒的现场中可以看到,后门病毒模块位于用友畅捷通[font=-apple-system, BlinkMacSystemFont, &]T+[font=&]软件的[font=-apple-system, BlinkMacSystemFont, &]bin[font=&]目录中,相关文件情况如下图所示:
[font=&]被投毒现场后门病毒模块文件位置情况
[font=&]某被投毒现场中,后门病毒模块的被投放时间,与受害用户使用的用友畅捷通T+[font=&]软件模块升级时间相近,畅捷通T+[font=&]软件更新的文件和恶意模块的时间对比图,如下图所示:
[font=&]时间对比图[font=&]
[font=&]被勒索后,需要支付[font=-apple-system, BlinkMacSystemFont, &]0.2[font=&]个比特币(目前大概[font=-apple-system, BlinkMacSystemFont, &]27439[font=&]人民币),黑客留下的勒索信,如下图所示:
[font=&]勒索信
[font=&]后门模块代码逻辑
附录
[font=&]
[font=&]病毒[font=-apple-system, BlinkMacSystemFont, &] HASH[font=&]: