incaseformat病毒简介
通告编号:NS-2021-0002
|
TAG: |
incaseformat、Worm.Win32.Autorun、数据删除、数据恢复 |
|
病毒危害: |
此病毒会删除所有非系统分区的文件 |
|
版本: |
1.0 |
|
传播方式: |
U盘 |
该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档
不仅如此,该病毒设定的删除日期不止今天(1月13日),距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。
incaseformat病毒分析
设置开机自启
-
病毒文件运行后,首先复制自身到Windows目录下(C:windowstsay.exe),文件图标伪装为文件夹
![记一次incaseformat病毒复现]( "记一次incaseformat病毒复现")
-
同时修改注册表键值实现自启动,涉及注册表项为:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa
-
病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件
-
此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHiddenHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExtHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalueHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtcheckedvalue
-
最后对非系统分区下所有文件执行删除操作,并创建incaseformat.log文件。
修复建议
-
主机排查
-
排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作
-
数据恢复
-
切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据
-
病毒清理
-
1.通过任务管理器结束病毒相关进程(ttry.exe)
![记一次incaseformat病毒复现]( "记一次incaseformat病毒复现")
-
2.删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)
![记一次incaseformat病毒复现]( "记一次incaseformat病毒复现")
-
3.恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项
参考链接
https://www.yuque.com/ipv4/virus/incaseformat
本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
原文始发于微信公众号(巢安实验室):记一次incaseformat病毒复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论