2021年01月15日
近日,安全團隊監測到一種名為incaseformat的蠕蟲病毒在國內爆發,該蠕蟲病毒執行后會自復制到系統盤Windows目錄下,并創建注冊表自啟動,刪除用戶除C盤以外的所有磁盤文件,危害極大。
病毒信息
病毒名稱 :incaseformat
病毒性質 蠕蟲病毒
影響范圍: 多省市多行業發現感染案例,有規模爆發趨勢
病毒危害
該蠕蟲病毒執行后會自復制到系統盤Windows目錄下,并創建注冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執行,病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。 病毒描述 該蠕蟲病毒在非Windows目錄下執行時,并不會產生刪除文件行為,但會將自身復制到系統盤的Windows目錄下,創建RunOnce注冊表值設置開機自啟,且具有偽裝正常文件夾行為: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 值: C:\windows\tsay.exe
當蠕蟲病毒在Windows目錄下執行時,會再次在同目錄下自復制,并修改如下注冊表項調整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:
查殺與恢復方式 1. 檢查Windows目錄下是否存在tsay.exe和ttry.exe文件,如果有立即刪除。 2. 檢查注冊表中是否存在下面的記錄,如有請立即刪除: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa和 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 3. 全盤查殺是否存在該病毒文件,目前大部分安全廠商的終端防護產品支持對該樣本的查殺。 4. 檢查病毒的植入的入口,并做相應的防范措施。 5. 如果除系統盤外的其他路徑已經被清空,請不要重啟電腦,可以先從隱藏文件中把數據先拷貝出來,或者使用第三方數據恢復軟件來恢復,成功率幾乎百分百。 預防措施 1. 不要運行來歷不明的軟件。 2. 下載軟件盡量從官網下載,并對比hash。 3. 安裝終端安全防護軟件,并保持最新的規則庫。 4. 對移動介質如U盤之類的,定期查殺。 5. 檢查各終端安全軟件的信任區,確保信任區內文件可信。 6. 本公司提供專業的數據恢復服務,如有需要請與我們聯系!
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
