据多个客户反映在1.13日蠕虫病毒FakeFolder大范围爆发,病毒感染用户机器后会通过U盘等移动存储介质自我复制感染到其他电脑。被感染的电脑除C盘之外的其他磁盘文件都会被删除,且磁盘中可能被创建“incaseformat”文本文档!病毒没有网络传播性,不必恐慌。最早出现在几年前,一般没有安装杀毒软件的电脑才会中招,国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。
【恶意程序家族】
-
运行后拷贝副本至C:windowstsay.exe、C:windowsttry.exe -
创建注册表启动项 -
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa C:windowstsay.exe -
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt -> 0x1
-
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue -> 0x0
-
重启后启动项中的母体文件运行,并删除系统盘以外盘符所有文件,然后释放大小为0kb的文件incaseformat.txt。
-
提高员工安全意识,使用U盘前用杀毒软件进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。
-
提升内网杀毒软件覆盖率,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新。
-
对于不慎感染的终端,使用杀毒软件进行全盘查杀。查杀前确认信任区是否不明文件,清理信任区之后再进行全盘扫描,待杀毒完成后,可尝试使用专业数据恢复工具或寻找第三方数据恢复公司进行数据恢复。
-
该病毒只在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动。
-
不要随意下载安装未知软件,尽量在官方网站进行下载安装;尽量关闭不必要的共享,或设置共享目录为只读模式。
为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CICSVD、CVE证书、编号和致谢。如需帮助请咨询 [email protected]
本文始发于微信公众号(山石网科安全技术研究院):安全预警 | incaseformat病毒应急处理方案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论