3月13日，火绒接到多个企业求助，在安装完“通达OA系统”某插件后，服务器内文件被病毒加密。火绒工程师紧急远程查看后，最终在用户的“通达OA”目录中发现一个使用Go语言编写的勒索病毒。根据上述迹象，火绒提醒“通达OA系统”用户注意加强安全防护，及时备份资料。目前，火绒最新版可对该勒索病毒进行拦截查杀，防止被该勒索病毒攻击。

根据分析，该勒索病毒在进入用户系统后会自动运行，并会尝试结束mysql.exe进程，再对.mdb、.sqlitedb、.doc、.docx、.xls、.xlsx、.ppt、.pptx等180种数据文件进行加密。

文件被加密后末尾被添加"1"，并会在桌面生成文件名为"readme_readme_readme.txt"的勒索信，并索要0.3个比特币。

图：被加密的文件后缀名

图：勒索信内容