3月13日，阿里云接到多个企业求助，在安装完“通达OA系统”某插件后，服务器内文件被病毒加密。经过阿里云安全团队分析发现通达OA系统0day漏洞，漏洞细节和真实PoC也未公开，为保障其他客户的安全性，阿里云Web应用防火墙（WAF）紧急更新规则，并快速向全平台下发，现已实现对该漏洞的默认防御。

一、勒索病毒分析

1.病毒简介

2.加密方式 (AES+RSA)

其加密文件采用AES的CFB模式来进行加密，其代码具体如下

加密完文件后，再对AES的秘钥进行加密。

病毒程序会自动运行，并尝试结束mysql.exe进程，再对.mdb、.sqlitedb、.doc、.docx、.xls、.xlsx、.ppt、.pptx等180种数据文件进行加密。

被勒索病毒加密后的文件

文件被加密后末尾被添加"1"，并会在桌面生成文件名为"readme_readme_readme.txt"的勒索信，并索要0.3个比特币。

二、通达OA 0day漏洞分析

攻击者利用了安装特定插件的通达OA系统，在未授权的情况下可以上传任意文件

漏洞攻击演示

上传恶意文件后，利用文件包含漏洞执行任意命令

三、安全建议

1. 请按照官方提示更新最新补丁；
2. 接入阿里云WAF，对接入网站进行针对该漏洞的默认防护，并随时获取阿里云WAF其他安全策略的快速更新，避免造成更大的损失。
   若您监测到该漏洞，可以扫描下方二维码，加入应急支持群，我们将为您提供24小时免费应急服务，为您进行漏洞处置争取时间。