3月13日，国内办公软件厂商通达OA在官方论坛发布紧急公告称，有部分用户的OA服务器遭到网络攻击，服务器上文件被重命名加密，并有勒索病毒提示。

紧急通知

今天我们发现部分用户的OA服务器遭到了攻击，访问时有如下伪装成我们OA系统页面的提示：

并且服务器上文件被重命名加密，且有勒索病毒说明：

在此，请所有未受影响的客户尽可能的将服务器断开互联网，并立即备份数据，且做好异地备份。

已经出现上述页面的请一定不要点击下载。如果已经受到攻击，请联系我们售后团队，尽量恢复备份数据。

我们正在寻找更好的解决方案，帮助用户恢复系统。

3月13日晚上，通达OA再次发布公告，提供了修复建议：

通达OA产品团队紧急制作了针对勒索病毒的安全加固程序。请广大用户立即下载更新：

V11版：

http://cdndown.tongda2000.com/oa/security/2020_A1.11.3.exe

2017版：

http://cdndown.tongda2000.com/oa/security/2020_A1.10.19.exe

2016版：

http://cdndown.tongda2000.com/oa/security/2020_A1.9.13.exe

2015版：

http://cdndown.tongda2000.com/oa/security/2020_A1.8.15.exe

2013增强版：

http://cdndown.tongda2000.com/oa/security/2020_A1.7.25.exe

2013版：

http://cdndown.tongda2000.com/oa/security/2020_A1.6.20.exe

提醒：请根据当前OA版本选择所对应的程序文件，运行前请先做好备份，如不确定，请联系我们售后团队协助处理。

根据安全厂商火绒安全的分析，该勒索病毒由Go语言编写，在进入用户系统后会自动运行，并会尝试结束mysql.exe进程，再对.mdb、.sqlitedb、.doc、 .docx、.xls、 .xlsx、.ppt、.pptx等180种数据文件进行加密。

文件被加密后末尾被添加"1"，并会在桌面生成文件名为

"readme_readme_readme.txt"的勒索信，并索要0.3个比特币。

建议使用通达OA的企业，近期多关注官方公告，做好安全防护和数据备份措施。

推荐文章++++

*NEMTY勒索病毒变种，勒索又窃密

*从新型冠状病毒看勒索病毒防范