緊急預(yù)警 | incaseformat 蠕蟲病毒來襲�����,警惕文件遭刪除
2021年01月15日
近日����,安全團(tuán)隊(duì)監(jiān)測到一種名為incaseformat的蠕蟲病毒在國內(nèi)爆發(fā)��,該蠕蟲病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動(dòng)�,刪除用戶除C盤以外的所有磁盤文件,危害極大。
病毒信息
病毒名稱 :incaseformat
病毒性質(zhì) 蠕蟲病毒
影響范圍: 多省市多行業(yè)發(fā)現(xiàn)感染案例��,有規(guī)模爆發(fā)趨勢
該蠕蟲病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤Windows目錄下���,并創(chuàng)建注冊表自啟動(dòng)�����,一旦用戶重啟主機(jī)�����,使得病毒母體從Windows目錄執(zhí)行�,病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除���,對用戶造成不可挽回的損失�����。
病毒描述
該蠕蟲病毒在非Windows目錄下執(zhí)行時(shí)�,并不會(huì)產(chǎn)生刪除文件行為����,但會(huì)將自身復(fù)制到系統(tǒng)盤的Windows目錄下�,創(chuàng)建RunOnce注冊表值設(shè)置開機(jī)自啟��,且具有偽裝正常文件夾行為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
當(dāng)蠕蟲病毒在Windows目錄下執(zhí)行時(shí)���,會(huì)再次在同目錄下自復(fù)制����,并修改如下注冊表項(xiàng)調(diào)整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統(tǒng)盤外的所有文件�����,在根目錄留下名為incaseformat.log的空文件:
查殺與恢復(fù)方式
1. 檢查Windows目錄下是否存在tsay.exe和ttry.exe文件����,如果有立即刪除����。
2. 檢查注冊表中是否存在下面的記錄,如有請立即刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa和
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
3. 全盤查殺是否存在該病毒文件����,目前大部分安全廠商的終端防護(hù)產(chǎn)品支持對該樣本的查殺��。
4. 檢查病毒的植入的入口�,并做相應(yīng)的防范措施���。
5. 如果除系統(tǒng)盤外的其他路徑已經(jīng)被清空����,請不要重啟電腦��,可以先從隱藏文件中把數(shù)據(jù)先拷貝出來�,或者使用第三方數(shù)據(jù)恢復(fù)軟件來恢復(fù),成功率幾乎百分百���。
預(yù)防措施
1. 不要運(yùn)行來歷不明的軟件��。
2. 下載軟件盡量從官網(wǎng)下載���,并對比hash。
3. 安裝終端安全防護(hù)軟件�,并保持最新的規(guī)則庫。
4. 對移動(dòng)介質(zhì)如U盤之類的�,定期查殺。
5. 檢查各終端安全軟件的信任區(qū),確保信任區(qū)內(nèi)文件可信��。
6. 本公司提供專業(yè)的數(shù)據(jù)恢復(fù)服務(wù)���,如有需要請與我們聯(lián)系����!
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
