2021年01月15日
近日,安全團隊監(jiān)測到一種名為incaseformat的蠕蟲病毒在國內(nèi)爆發(fā),該蠕蟲病毒執(zhí)行后會自復制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動,刪除用戶除C盤以外的所有磁盤文件,危害極大。
病毒信息
病毒名稱 :incaseformat
病毒性質(zhì) 蠕蟲病毒
影響范圍: 多省市多行業(yè)發(fā)現(xiàn)感染案例,有規(guī)模爆發(fā)趨勢
病毒危害
該蠕蟲病毒執(zhí)行后會自復制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執(zhí)行,病毒進程將會遍歷除系統(tǒng)盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。 病毒描述 該蠕蟲病毒在非Windows目錄下執(zhí)行時,并不會產(chǎn)生刪除文件行為,但會將自身復制到系統(tǒng)盤的Windows目錄下,創(chuàng)建RunOnce注冊表值設(shè)置開機自啟,且具有偽裝正常文件夾行為: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 值: C:\windows\tsay.exe
當蠕蟲病毒在Windows目錄下執(zhí)行時,會再次在同目錄下自復制,并修改如下注冊表項調(diào)整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統(tǒng)盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:
查殺與恢復方式 1. 檢查Windows目錄下是否存在tsay.exe和ttry.exe文件,如果有立即刪除。 2. 檢查注冊表中是否存在下面的記錄,如有請立即刪除: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa和 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 3. 全盤查殺是否存在該病毒文件,目前大部分安全廠商的終端防護產(chǎn)品支持對該樣本的查殺。 4. 檢查病毒的植入的入口,并做相應的防范措施。 5. 如果除系統(tǒng)盤外的其他路徑已經(jīng)被清空,請不要重啟電腦,可以先從隱藏文件中把數(shù)據(jù)先拷貝出來,或者使用第三方數(shù)據(jù)恢復軟件來恢復,成功率幾乎百分百。 預防措施 1. 不要運行來歷不明的軟件。 2. 下載軟件盡量從官網(wǎng)下載,并對比hash。 3. 安裝終端安全防護軟件,并保持最新的規(guī)則庫。 4. 對移動介質(zhì)如U盤之類的,定期查殺。 5. 檢查各終端安全軟件的信任區(qū),確保信任區(qū)內(nèi)文件可信。 6. 本公司提供專業(yè)的數(shù)據(jù)恢復服務,如有需要請與我們聯(lián)系!
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://nblsxs.com/
免費咨詢熱線:400-6776-989