找回密码
 立即注册

QQ登录

只需一步,快速开始

  • QQ空间
  • 回复
  • 收藏
前言:根据国内头部安全企业,360、火绒、深信服等公布的最新消息,称监测到一种名为incasefrmat的计算机蠕虫病毒在国内大范围爆发,同时已经发现多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

该蠕虫病毒执行后,会自动复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。


incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到2021年1月13日才被触发。

据安全监测机构预计,名为incasefrmat的计算机蠕虫病毒可能会在2021年1月23日、2月4日再次爆发,建议用户提前做好预防数据丢失的防范工作。

病毒名称:incaseformat
病毒性质:蠕虫病毒
影响范围:多省市多行业发现感染案例,有规模爆发趋势
危害等级:高危,可导致用户数据丢失

问题1:什么是“incaseformat蠕虫病毒”?

蠕虫病毒:是诸多常见的计算机病毒中的一种,蠕虫病毒主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具U盘途径传播,通过隐藏在普通的文件中,比如DOC、PPT、JPG等日常文件中。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会将该计算机作为宿主继续传播感染其他计算机,类似棋盘摆米似的倍数增长。

问题2:“incaseformat蠕虫病毒”原理?

计算机在感染该病毒后程序自动运行,若处于非Windows目录下运行时,则自动将本程序代码复制到系统盘符下的Windows目录中(C:/windows/tsay/tsay.exe)再次运行,此时会在注册表中自动创建开机自动启动的服务,完成开启自启服务创建后退出,此时不会自动删除电脑中的文件,此时也是查杀该病毒的最佳机会。

而一旦错过这个机会后,用户进行关机再开启或者重启操作后,该病毒就会在开机时自动启动,通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除,造成用户数据丢失带来不可估量的损失。


问题3:“incaseformat蠕虫病毒”排查方法?

1)检测是否存在以下文件

C:Windows        say.exe

C:Windows        try.exe


2)检测注册表路径

“HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce”是否存在“msfsa”项。

重点:incaseformat蠕虫病毒会自动删除计算机非系统盘的其他存储区域的数据,传播性强,隐蔽性高、危害性大,需要重点防范。

火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。

此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。

蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。


解决方案,由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议用户在未做好安全防护及病毒查杀工作前,请勿重启主机!

1、不随意下载,安装未知软件,不随便打开共享文件,尽量在官方渠道下载软件

2、尽量关闭不必要的共享,或设置共享目录为只读模式,打开电脑的防火墙,并且在自己的电脑上安装电脑防护软件,如:电脑管家、360、火绒等

3、严格规范U盘等移动介质的使用,使用前先进行查杀

4、保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等

5、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件

以下是系统总裁对该病毒的一个样本,给大家做的分析

首先这个病毒第一次感染的文件名是Windows        say.exe

并在如下注册表创建启动项:

1、64位系统是

HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa

2、32位系统是

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

这时候病毒还没有做删除文件的相关恶意操作


重启电脑后会发现,多生成了一个文件Windows        try.exe,并多出来一个ttry.exe的进程


此时非系统盘的文件夹全部被删除,并被病毒创建了一个假的exe文件夹图标程序用来进一步扩散。


到这里病毒的执行流程和结果已经分析完毕。

我们可以针对性的处理。这里需要借助USM优盘魔术师PE在PE下操作。发现文件被删,要尽快关电脑,如果是机械硬盘可以在PE下恢复数据,如果是固态硬盘的话难度就很大了。

在PE下删除Windows        say.exe和Windows        try.exe文件


清理如下注册表启动项

HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa


HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa


然后再删除非系统盘里的文件夹图标程序,最后再进行数据恢复。


其实如果你要处理的快的话,你会惊奇的发现非系统盘的文件,病毒还没来得及删除,只是先把文件夹都隐藏了并等待删除。

最后告诉大家一个小招,也许可以预防。在Windows目录下创建两个记事本文件,并分别更改文件名为tsay.exe和ttry.exe,再把两个文件的所有权限都删除(具体方法大家自行修炼吧)


最后,希望青苹果家园的这篇文章能帮助到大家!

青苹果系统官网:www.pggho.com
发表评论
登录后参与评论 / 立即注册
用户反馈
QQ群