亚洲高清毛片一区二区,,,,,,,

緊急預警 | incaseformat 蠕蟲病毒來襲,警惕文件遭刪除

2021年01月15日

近日,安全團隊監(jiān)測到一種名為incaseformat的蠕蟲病毒在國內(nèi)爆發(fā),該蠕蟲病毒執(zhí)行后會自復制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動,刪除用戶除C盤以外的所有磁盤文件,危害極大。

1.15.png

病毒信息

病毒名稱 :incaseformat

病毒性質(zhì) 蠕蟲病毒

影響范圍: 多省市多行業(yè)發(fā)現(xiàn)感染案例,有規(guī)模爆發(fā)趨勢


病毒危害

該蠕蟲病毒執(zhí)行后會自復制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執(zhí)行,病毒進程將會遍歷除系統(tǒng)盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。

病毒描述


該蠕蟲病毒在非Windows目錄下執(zhí)行時,并不會產(chǎn)生刪除文件行為,但會將自身復制到系統(tǒng)盤的Windows目錄下,創(chuàng)建RunOnce注冊表值設(shè)置開機自啟,且具有偽裝正常文件夾行為:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

2.15.png

當蠕蟲病毒在Windows目錄下執(zhí)行時,會再次在同目錄下自復制,并修改如下注冊表項調(diào)整隱藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統(tǒng)盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:



3.15.png

查殺與恢復方式


1. 檢查Windows目錄下是否存在tsay.exe和ttry.exe文件,如果有立即刪除。

2. 檢查注冊表中是否存在下面的記錄,如有請立即刪除:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa和

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

3. 全盤查殺是否存在該病毒文件,目前大部分安全廠商的終端防護產(chǎn)品支持對該樣本的查殺。

4. 檢查病毒的植入的入口,并做相應的防范措施。

5. 如果除系統(tǒng)盤外的其他路徑已經(jīng)被清空,請不要重啟電腦,可以先從隱藏文件中把數(shù)據(jù)先拷貝出來,或者使用第三方數(shù)據(jù)恢復軟件來恢復,成功率幾乎百分百。


預防措施


1. 不要運行來歷不明的軟件。

2. 下載軟件盡量從官網(wǎng)下載,并對比hash。

3. 安裝終端安全防護軟件,并保持最新的規(guī)則庫。

4. 對移動介質(zhì)如U盤之類的,定期查殺。

5. 檢查各終端安全軟件的信任區(qū),確保信任區(qū)內(nèi)文件可信。

6. 本公司提供專業(yè)的數(shù)據(jù)恢復服務,如有需要請與我們聯(lián)系!


江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界

為IT提升價值


http://nblsxs.com/

免費咨詢熱線:400-6776-989

5fd036aa2f71f.jpg




江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com