2022年8月29日，针对用友畅捷通T+企业用户的勒索攻击爆发，用友是中国领先的财务软件提供商。据Gartner研究显示，用友公司是全球企业级应用软件（ERP）TOP10中唯一的亚太厂商，在全球ERP SaaS市场位居亚太区厂商排名第一（本数据引用自用友官网）。

360安全卫士发布微博称，“自2022年8月28日起，目前确认来自该勒索病毒的攻击案例已超2000余例，且该数量仍在不断上涨。”360并未直接指出该厂商的名字，但公众均认为他所说的就是财务厂商用友。

另一家安全厂商火绒也确认了该消息，在火绒工程师找到的中毒现场中，后门病毒模块的被投放时间，与受害用户使用的用友畅捷通T+软件模块升级时间十分接近，都是8月28日的22点02分，如图所示：

（本图来自火绒官网）

火绒和360的企业杀毒软件升级后应该都可以查杀该病毒，但值得注意的是，该后门病毒还会投送勒索病毒，勒索病毒会加密中毒服务器上的所有数据，无法解密。

单单查杀病毒本身，并不能让被加密的数据恢复正常。如果此前企业曾经进行过本地数据备份，可以尝试求助用友官方进行数据恢复。但如果没有备份的话，可能需要向攻击者支付0.2个比特币（大约人民币2.7万元）才能解密。

8月30日凌晨，用友官方在微博上发布了《关于少量畅捷通T+软件用户遭受勒索病毒攻击的声明》，在声明重用友指出，中毒用户为自行部署软件服务器的用户，未做必要的网络安全防护。使用用友云服务器的公有云用户未中毒。

在声明中，用友未提及中毒用户应该如何恢复数据。（在我看来，这是在推卸责任）

参考资料：

1、用友官方微博

2、360安全卫士微博

3、火绒安全软件官网