2022年8月29日，針對(duì)用友暢捷通T+企業(yè)用戶的勒索攻擊爆發(fā)，用友是中國(guó)領(lǐng)先的財(cái)務(wù)軟件提供商。據(jù)Gartner研究顯示，用友公司是全球企業(yè)級(jí)應(yīng)用軟件（ERP）TOP10中唯一的亞太廠商，在全球ERP SaaS市場(chǎng)位居亞太區(qū)廠商排名第一（本數(shù)據(jù)引用自用友官網(wǎng)）。

360安全衛(wèi)士發(fā)布微博稱，“自2022年8月28日起，目前確認(rèn)來(lái)自該勒索病毒的攻擊案例已超2000余例，且該數(shù)量仍在不斷上漲?！?60并未直接指出該廠商的名字，但公眾均認(rèn)為他所說(shuō)的就是財(cái)務(wù)廠商用友。

另一家安全廠商火絨也確認(rèn)了該消息，在火絨工程師找到的中毒現(xiàn)場(chǎng)中，后門(mén)病毒模塊的被投放時(shí)間，與受害用戶使用的用友暢捷通T+軟件模塊升級(jí)時(shí)間十分接近，都是8月28日的22點(diǎn)02分，如圖所示：

（本圖來(lái)自火絨官網(wǎng)）

火絨和360的企業(yè)殺毒軟件升級(jí)后應(yīng)該都可以查殺該病毒，但值得注意的是，該后門(mén)病毒還會(huì)投送勒索病毒，勒索病毒會(huì)加密中毒服務(wù)器上的所有數(shù)據(jù)，無(wú)法解密。

單單查殺病毒本身，并不能讓被加密的數(shù)據(jù)恢復(fù)正常。如果此前企業(yè)曾經(jīng)進(jìn)行過(guò)本地?cái)?shù)據(jù)備份，可以嘗試求助用友官方進(jìn)行數(shù)據(jù)恢復(fù)。但如果沒(méi)有備份的話，可能需要向攻擊者支付0.2個(gè)比特幣（大約人民幣2.7萬(wàn)元）才能解密。

8月30日凌晨，用友官方在微博上發(fā)布了《關(guān)于少量暢捷通T+軟件用戶遭受勒索病毒攻擊的聲明》，在聲明重用友指出，中毒用戶為自行部署軟件服務(wù)器的用戶，未做必要的網(wǎng)絡(luò)安全防護(hù)。使用用友云服務(wù)器的公有云用戶未中毒。

在聲明中，用友未提及中毒用戶應(yīng)該如何恢復(fù)數(shù)據(jù)。（在我看來(lái)，這是在推卸責(zé)任）

參考資料：

1、用友官方微博

2、360安全衛(wèi)士微博

3、火絨安全軟件官網(wǎng)