风险通告
奇安信CERT于2021年1月13日监测到的“格格病毒(incaseformat)”,该病毒在1月13日首次发作,表现为电脑中招后,除系统C盘以外其他文件全部被删除,根据样本分析,奇安信发现,1月13日之后,到了定时日期,存活病毒还会再次发作,最近的一次发作日期是明天(2021年1月23日)。由于该病毒隐蔽性强,难以根除,奇安信强烈建议客户“应检尽检”,全面在终端上安装天擎等集中式安全管理软件,构筑无死角的防线。已安装天擎用户不受任何影响。
可以发现,使用程序的实际MSecsPerDay变量值计算出,后续还会触发时间炸弹:除了1月13日之外,未来还有2021年1月23日,2021年2月4日,2021年2月13日,2021年2月15日等。大概每月发作4次左右,仅2021年上半年,还将发作19次,频率非常密集。
反病毒专家还发现,该病毒U盘隐藏正常文件夹,并替换为同名样本母体,运行后拷贝副本至C:windowstsay.exe、C:windowsttry.exe,继而创建名为注册表启动项。感染病毒的电脑用户,重启后启动项中的母体文件运行,并删除系统盘以外盘符所有文件,然后释放大小为0kb的文件incaseformat.txt。
2. 对于局域网内的机器,应该启动全网的快速扫描,对于没有安装企业级杀毒软件的单机使用专杀工具进行检测和查杀,确保发现局域网内隐蔽的病毒,防止它再继续感染其他的设备。
3. 对于不慎感染的终端,使用奇安信天擎进行全盘查杀。查杀前确认信任区是否不明文件,清理信任区之后再进行全盘扫描。
尚未安装的奇安信天擎的用户,可以使用奇安信“格格病毒”(incaseformat)专杀工具,对系统进行全盘扫描,并清除病毒。清理完病毒之后尝试使用专业数据恢复工具或寻找第三方数据恢复公司进行数据恢复。
专杀工具下载地址:http://dl.qianxin.com/skylar6/FocusTool.latest.zip
奇安信天擎终端安全管理系统解决方案
使用奇安信天擎进行全盘查杀。查杀前确认信任区是否不明文件,清理信任区之后再进行全盘扫描。
[2]https://mp.weixin.qq.com/s/v199Hz5UZrK_rzFD9sSU4w
2020年1月22日,奇安信 CERT发布安全风险通告
本文始发于微信公众号(奇安信 CERT):【安全风险通告】警告:明天再次发作 | incaseformat病毒事件安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论