緊急預(yù)警 | incaseformat 蠕蟲(chóng)病毒來(lái)襲����,警惕文件遭刪除
2021年01月15日
近日,安全團(tuán)隊(duì)監(jiān)測(cè)到一種名為incaseformat的蠕蟲(chóng)病毒在國(guó)內(nèi)爆發(fā)�,該蠕蟲(chóng)病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤(pán)Windows目錄下,并創(chuàng)建注冊(cè)表自啟動(dòng)��,刪除用戶(hù)除C盤(pán)以外的所有磁盤(pán)文件,危害極大��。
病毒信息
病毒名稱(chēng) :incaseformat
病毒性質(zhì) 蠕蟲(chóng)病毒
影響范圍: 多省市多行業(yè)發(fā)現(xiàn)感染案例�,有規(guī)模爆發(fā)趨勢(shì)
該蠕蟲(chóng)病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤(pán)Windows目錄下����,并創(chuàng)建注冊(cè)表自啟動(dòng)�����,一旦用戶(hù)重啟主機(jī)����,使得病毒母體從Windows目錄執(zhí)行,病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤(pán)外的所有磁盤(pán)文件進(jìn)行刪除�,對(duì)用戶(hù)造成不可挽回的損失。
病毒描述
該蠕蟲(chóng)病毒在非Windows目錄下執(zhí)行時(shí)����,并不會(huì)產(chǎn)生刪除文件行為,但會(huì)將自身復(fù)制到系統(tǒng)盤(pán)的Windows目錄下�����,創(chuàng)建RunOnce注冊(cè)表值設(shè)置開(kāi)機(jī)自啟����,且具有偽裝正常文件夾行為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
當(dāng)蠕蟲(chóng)病毒在Windows目錄下執(zhí)行時(shí)�����,會(huì)再次在同目錄下自復(fù)制,并修改如下注冊(cè)表項(xiàng)調(diào)整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統(tǒng)盤(pán)外的所有文件��,在根目錄留下名為incaseformat.log的空文件:
查殺與恢復(fù)方式
1. 檢查Windows目錄下是否存在tsay.exe和ttry.exe文件�,如果有立即刪除。
2. 檢查注冊(cè)表中是否存在下面的記錄�����,如有請(qǐng)立即刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa和
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
3. 全盤(pán)查殺是否存在該病毒文件����,目前大部分安全廠商的終端防護(hù)產(chǎn)品支持對(duì)該樣本的查殺。
4. 檢查病毒的植入的入口��,并做相應(yīng)的防范措施��。
5. 如果除系統(tǒng)盤(pán)外的其他路徑已經(jīng)被清空�,請(qǐng)不要重啟電腦,可以先從隱藏文件中把數(shù)據(jù)先拷貝出來(lái)���,或者使用第三方數(shù)據(jù)恢復(fù)軟件來(lái)恢復(fù)�,成功率幾乎百分百。
預(yù)防措施
1. 不要運(yùn)行來(lái)歷不明的軟件��。
2. 下載軟件盡量從官網(wǎng)下載��,并對(duì)比hash�����。
3. 安裝終端安全防護(hù)軟件��,并保持最新的規(guī)則庫(kù)����。
4. 對(duì)移動(dòng)介質(zhì)如U盤(pán)之類(lèi)的,定期查殺�。
5. 檢查各終端安全軟件的信任區(qū),確保信任區(qū)內(nèi)文件可信���。
6. 本公司提供專(zhuān)業(yè)的數(shù)據(jù)恢復(fù)服務(wù)�����,如有需要請(qǐng)與我們聯(lián)系���!
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢(xún)熱線:400-6776-989
