最新消息，国内多个安全技术社群传出国内常用财务管理软件勒索病毒大爆发。据悉，此次攻击为无差别攻击，主要以公有云服务器为主。

28日晚勒索病毒开始大面积攻击国内领先软件厂商，某使用率非常广的财务软件的客户已被通知检查数据备份，把数据拷贝到移动硬盘做异机存储，防止遭受攻击后数据无法找回。当发现系统异常时，及时与厂家服务人员联系。

已经有很多客户反馈发生中毒，请大家务必重视！

事件简述

8月28日起，权威机构监测到一起0day漏洞大规模勒索利用事件，威胁情报中心接到大量反馈，用户计算机文件被.locked后缀的勒索病毒加密，截止目前，已经确认来自该勒索病毒的攻击案例已超2000余例，且该数量仍在不断上涨。

事件分析

通过专家远程排查，目前可以确认黑客是利用了某财物管理系统漏洞，通过命令执行发起的攻击。从病毒留下的勒索提示信息内容分析，该病毒与之前流行的TellYouThePass勒索病毒为关联家族，甚至不排除就是TellYouThePass的最新变种。

（1）攻击来源

此次事件中，攻击者是针对暴露在互联网上的某CRM系统发起攻击，利用漏洞执行命令并加密文件。进程树如下所示：

（2）关联漏洞信息

对于此次勒索病毒传播所依赖的漏洞，推测为本月初发现的一个0day漏洞。

2022年8月5日，某国内漏洞库便收到漏洞情报：某头部企业财务软件存在0day漏洞。通过对其官方已发布的补丁和漏洞细节进行反复对比，确认此漏洞尚无补丁，为0day漏洞。相关漏洞为WEB类漏洞，漏洞触发效果为RCE，漏洞触发过程为反序列化远程代码执行。

（3）病毒防御情况

据了解公安部等保云防应对本次事件中表现优异，接入等保云防服务的平台均未发现有失陷情况。

等保云防是信息安全等级保护关键技术国家工程实验室自主研发的基于云计算的针对Web系统提供防护的SaaS服务，无需在本地部署任何软硬件，无需修改Web系统本身结构，非接触远程即可部署完成，同时提供7×24专业安全团队监控，随时响应，确保及时防御新出现的威胁。基于云计算的等保云防可以抵御网络黑客攻击行为，例如：扫描器/爬虫防御、异常HTTP请求防御、SQL注入防护、POST请求SQL注入防护、Webshell防护、跨站脚本XSS防护、POST请求XSS防护、命令/代码执行防护、文件包含/注入防护策略集、以及利用特定程序（如CMS、MySQL组件等）的漏洞的攻击行为进行防护。

天帷建议

（1） 广大用户做好资产自查、网络安全预防以及数据备份工作，定期将数据拷贝到移动存储设备做异机存储；

（2） 时刻关注网络安全动态，尤其是与公司业务信息系统相关的最新漏洞信息；

（3） 与专业网络安全服务公司建立良好的合作关系，提高应急响应能力，在漏洞无法避免的情况下，一旦出现安全事件，能够及时发现、及时修复、及时响应并溯源反制，并将数字业务快速恢复到常态。天帷信安，专注网络安全合规治理服务2014年成立以来,天帷以“安全网络，美好生活”为发展愿景，深耕在网络安全等级保护测评、IT咨询、安全培训、安全运维、软件测试、应急响应、商用密码应用安全性评估、等网络安全服务领域，是信息安全等级保护关键技术国家工程实验室安徽省唯一授权指定服务支持中心。

如有相关业务需求，请来电咨询天帷信安。

联系人：陶老师；联系电话：18656450708。