安全预警 | incaseformat病毒应急处理方案

  • A+
所属分类:安全漏洞

据多个客户反映在1.13日蠕虫病毒FakeFolder大范围爆发,病毒感染用户机器后会通过U盘等移动存储介质自我复制感染到其他电脑。被感染的电脑除C盘之外的其他磁盘文件都会被删除,且磁盘中可能被创建“incaseformat”文本文档!病毒没有网络传播性,不必恐慌。最早出现在几年前,一般没有安装杀毒软件的电脑才会中招,国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。


安全预警 | incaseformat病毒应急处理方案


incaseformat病毒1.13日发作,具备定时删除文件的能力,会在特定时间定时发作。大部分的杀毒软件产品都早已支持此病毒的拦截和查杀,但可能因故障环境中都存在病毒文件被加入到信任区,导致病毒文件不能被及时查杀1.13日是“病毒发作事件”,不是“病毒传播事件”。这个病毒类似“定时炸弹”,如果在机器中潜伏,会1.13日发作。


安全预警 | incaseformat病毒应急处理方案

安全预警 | incaseformat病毒应急处理方案


关于病毒信息




【恶意程序家族】

incaseformat
【关键字】
#incaseformat.txt、#tsay.exe、#ttry.exe
【家族详情】
病毒类型:蠕虫
传播方式:U盘隐藏正常文件夹,并替换为同名样本母体
行为特征:
  1. 运行后拷贝副本至C:windowstsay.exe、C:windowsttry.exe
  2. 创建注册表启动项
  3. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa  C:windowstsay.exe
  4. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt -> 0x1

  5. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue -> 0x0

  6. 重启后启动项中的母体文件运行,并删除系统盘以外盘符所有文件,然后释放大小为0kb的文件incaseformat.txt。


安全建议



  1. 提高员工安全意识,使用U盘前用杀毒软件进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。

  2. 提升内网杀毒软件覆盖率,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新。

  3. 对于不慎感染的终端,使用杀毒软件进行全盘查杀。查杀前确认信任区是否不明文件,清理信任区之后再进行全盘扫描,待杀毒完成后,可尝试使用专业数据恢复工具或寻找第三方数据恢复公司进行数据恢复。

  4. 该病毒只在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动。

  5. 不要随意下载安装未知软件,尽量在官方网站进行下载安装;尽量关闭不必要的共享,或设置共享目录为只读模式。


关于山石网科安全技术研究院



    山石安研院是山石网科的信息安全智库部门,主要负责反APT研究、出战及承办全球攻防赛事、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。
    为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CICSVD、CVE证书、编号和致谢。如需帮助请咨询 [email protected]

安全预警 | incaseformat病毒应急处理方案


本文始发于微信公众号(山石网科安全技术研究院):安全预警 | incaseformat病毒应急处理方案

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: