3月13日,阿里云接到多个企业求助,在安装完“通达OA系统”某插件后,服务器内文件被病毒加密。经过阿里云安全团队分析发现通达OA系统0day漏洞,漏洞细节和真实PoC也未公开,为保障其他客户的安全性,阿里云Web应用防火墙(WAF)紧急更新规则,并快速向全平台下发,现已实现对该漏洞的默认防御。
一、勒索病毒分析
1.病毒简介
2.加密方式 (AES+RSA)
其加密文件采用AES的CFB模式来进行加密,其代码具体如下
加密完文件后,再对AES的秘钥进行加密。
病毒程序会自动运行,并尝试结束mysql.exe进程,再对.mdb、.sqlitedb、.doc、.docx、.xls、.xlsx、.ppt、.pptx等180种数据文件进行加密。
被勒索病毒加密后的文件
文件被加密后末尾被添加"1",并会在桌面生成文件名为"readme_readme_readme.txt"的勒索信,并索要0.3个比特币。
二、通达OA 0day漏洞分析
攻击者利用了安装特定插件的通达OA系统,在未授权的情况下可以上传任意文件
漏洞攻击演示
上传恶意文件后,利用文件包含漏洞执行任意命令
三、安全建议
- 请按照官方提示更新最新补丁;
- 接入阿里云WAF,对接入网站进行针对该漏洞的默认防护,并随时获取阿里云WAF其他安全策略的快速更新,避免造成更大的损失。
若您监测到该漏洞,可以扫描下方二维码,加入应急支持群,我们将为您提供24小时免费应急服务,为您进行漏洞处置争取时间。
