![37dfc386532d6d80196b2eead0f6908f.png](https://i-blog.csdnimg.cn/blog_migrate/d0cbfe3a8d99199eb2e47ab275691f9e.jpeg)
3月13日,火绒接到多个企业求助,在安装完“通达OA系统”某插件后,服务器内文件被病毒加密。火绒工程师紧急远程查看后,最终在用户的“通达OA”目录中发现一个使用Go语言编写的勒索病毒。根据上述迹象,火绒提醒“通达OA系统”用户注意加强安全防护,及时备份资料。目前,火绒最新版可对该勒索病毒进行拦截查杀,防止被该勒索病毒攻击。
![8cb16ee65272bab9b51af7a8a7035dc3.png](https://i-blog.csdnimg.cn/blog_migrate/63455d6b12357d95a6965f551ec30072.png)
![3fa7cb0fcd5eb5622eb74325ca6ddb5d.png](https://i-blog.csdnimg.cn/blog_migrate/3a7b5be0b99d2df80e5e0380666d87f7.png)
根据分析,该勒索病毒在进入用户系统后会自动运行,并会尝试结束mysql.exe进程,再对.mdb、.sqlitedb、.doc、.docx、.xls、.xlsx、.ppt、.pptx等180种数据文件进行加密。
文件被加密后末尾被添加"1",并会在桌面生成文件名为"readme_readme_readme.txt"的勒索信,并索要0.3个比特币。
![73b2eefa4b026374d5c43cd6b3e428f4.png](https://i-blog.csdnimg.cn/blog_migrate/0476a61aaadf897ee451df6a64cdc9fd.png)
图:被加密的文件后缀名
![9bbbc7d647477426b9966866e0a2a811.png](https://i-blog.csdnimg.cn/blog_migrate/cce79f67484fa628930263502330924a.png)
图:勒索信内容
最后,火绒将会持续关注该事件,用户如遇上述问题可随时向我们求助;此外,通达OA的用户也可以关注通达OA官网与社区,以获取官方建议与解决方案。
![e398aed3b4c77ad076a7d91abdb50a8c.png](https://i-blog.csdnimg.cn/blog_migrate/e11223bd26342c71a71365791c523ee9.jpeg)
通达OA官网:【通达OA】办公就用通达OA,通达OA官方网站_OA系统_协同办公
通达OA社区:通达用户社区[OA论坛] - Powered by Discuz!
通达OA社区内的紧急通知:通达紧急通知 - V11版产品交流区 - 通达用户社区[OA论坛] - Powered by Discuz!