某流行企业财务软件0day漏洞大规模勒索利用通告

报告编号：B6-2022-082902
报告来源：360高级威胁研究分析中心

报告作者：360高级威胁研究分析中心

更新日期：2022-08-29

• 0x01   事件简述
  

自2022年08月28日起，360高级威胁研究分析中心监测到一起0day漏洞大规模勒索利用事件，事件等级：严重，事件评分：10.0。

8月28日开始，360高级威胁研究分析中心接到大量反馈，用户计算机文件被.locked后缀的勒索病毒加密，截止当前，360反勒索服务已经确认来自该勒索病毒的攻击案例已超2000余例，且该数量仍在不断上涨。

对此，360CERT建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。

• 0x02   风险等级
  

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
攻击者价值	高
利用难度	高
360CERT评分	10.0

• 0x03   事件简述
  

8月28日开始，360高级威胁研究分析中心接到大量反馈，用户计算机文件被.locked后缀的勒索病毒加密，截止当前，360反勒索服务已经确认来自该勒索病毒的攻击案例已超2000余例，且该数量仍在不断上涨。



通过我们远程排查，目前可以确认黑客是利用了某财务管理软件漏洞，通过命令执行发起的攻击。



从病毒留下的勒索提示信息内容分析，该病毒与之前流行的TellYouThePass勒索病毒为关联家族，甚至不排除就是TellYouThePass的最新变种。该病毒会向受害者索要0.2BTC的赎金，这一价格比之前TellYouThePass家族的已知赎金提升了0.05BTC。


此外，通过与攻击者的沟通邮件可以肯定对方也是中文使用者，沟通全程使用中文进行对话，且语句非常自然并非“机翻”。



攻击来源
此次事件中，攻击者是针对暴露在互联网上的某财务管理软件发起攻击，利用漏洞执行命令并加密文件。进程树如下所示：



关联漏洞信息
对于此次勒索病毒传播所依赖的漏洞，推测为本月初发现的一个0day漏洞。

对于此次勒索病毒传播所依赖的漏洞，根据360漏洞云的漏洞情报分析，某流行企业财务软件存在一个远程代码执行0day漏洞，疑似近日被勒索团伙大规模利用。

受到攻击地域分布统计
此次攻击从 8 月 28 日 21 时 30 分左右开始大规模爆发，一直持续到 8 月 29 日 1 时左右，截至当前360安全大脑观察到有1986台机器遭到攻击，统计地域分布如下。

• 0x04   产品侧解决方案
  

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360终端安全管理系统
360终端安全管理系统是在360安全大脑极智赋能下，以大数据、云计算、人工智能等新技术为支撑，以可靠服务为保障，集防病毒、漏洞与补丁管理、Win7盾甲、EDR等安全防护功能于一体，针对勒索病毒提供高危漏洞利用防护、横向渗透阻断、勒索诱饵、文档备份找回等多重防护机制，保障终端数据资产免受勒索破坏。360终端安全管理系统已支持对该类漏洞利用的检测与查杀，请及时更新终端的病毒库和漏洞库，做好安全防护。



360企业安全云
用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。



360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。




360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。




360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

• 0x05   时间线
  

2022-08-29 360CERT发布通告

很不幸，中招了， 崩了好几台，本地备份数据全部被锁。

我也中招了；是不是想叫升级软件呢 ！云端说没事

我今天110报警了 ，我认为很有必要 ！

真的是畅捷通T+的问题啊

我也中招了

changjietongbei

360安全卫士防护不住呀？连检测都检测不出来。

有解决办法吗，

我公司也中招一台  还是域控  所有文件被锁    360既然没拦截住，唉。…。………………。…。…。…。……

该病毒会向受害者索要0.2BTC的赎金

有解决办法吗，+1

我也中了。。怎么办

请教一下，这个病毒会隐藏在电脑中吗？查杀不出来咋办？如果硬盘格调重装系统，还会被攻击吗？

各位网友有好的解决办法吗？

有解决办法吗

目前还没有什么办法吗？360也都没招？收费能解决也行啊？

普通360安全卫士beta能防住吗？

另外，这个漏洞有补丁了吗？

另外这个流行企业财务软件说的是金蝶吧

昨天晚上听说最近有勒索病毒，然后我们每天备份的移动硬盘都没有拔过，昨天都要回家了，又去机房拔了移动硬盘，然后打了补丁，更新到最新的beta版，使用功能大全，热门功能免疫，补了补，不过还没有重启服务器！我们用的是金蝶，上面还有以前的KSOA，希望没事！

我们也是装畅捷通那台服务器全被加.locked了

我们也是装畅捷通那台服务器全被加.locked

你们报警有用吗？怎么处理的啊？

同志们，咋弄啊，这下系统都不能用了，只能大眼瞪小眼？

畅捷通     

是不是只能找数据恢复公司处理？数据恢复公司可以搞定，360为啥搞不定呢？

有没有找畅捷通解决的，我一个电话也打不过去，这不应该他们来补救么，丢了这么多数据。

就是我问一下，针对这次被locked勒索病毒攻击的数据，360官方有相应解决方案吗，很多客户都等着你们这样的公司出解密工具呢，付费也是可以的

中招的伙伴们拼团，让360的大神些，整个解密工具啊，要不然这咋整