3月13日,阿裡雲接到多個企業求助,在安裝完“通達OA系統”某插件後,伺服器内檔案被病毒加密。經過阿裡雲安全團隊分析發現通達OA系統0day漏洞,漏洞細節和真實PoC也未公開,為保障其他客戶的安全性,阿裡雲Web應用防火牆(WAF)緊急更新規則,并快速向全平台下發,現已實作對該漏洞的預設防禦。
一、勒索病毒分析
1.病毒簡介
2.加密方式 (AES+RSA)
其加密檔案采用AES的CFB模式來進行加密,其代碼具體如下
加密完檔案後,再對AES的秘鑰進行加密。
病毒程式會自動運作,并嘗試結束mysql.exe程序,再對.mdb、.sqlitedb、.doc、.docx、.xls、.xlsx、.ppt、.pptx等180種資料檔案進行加密。
被勒索病毒加密後的檔案
檔案被加密後末尾被添加"1",并會在桌面生成檔案名為"readme_readme_readme.txt"的勒索信,并索要0.3個比特币。
二、通達OA 0day漏洞分析
攻擊者利用了安裝特定插件的通達OA系統,在未授權的情況下可以上傳任意檔案
漏洞攻擊示範
上傳惡意檔案後,利用檔案包含漏洞執行任意指令
三、安全建議
- 請按照官方提示更新最新更新檔;
-
接入阿裡雲WAF,對接入網站進行針對該漏洞的預設防護,并随時擷取阿裡雲WAF其他安全政策的快速更新,避免造成更大的損失。
若您監測到該漏洞,可以掃描下方二維碼,加入應急支援群,我們将為您提供24小時免費應急服務,為您進行漏洞處置争取時間。