首页 > 正文

【紧急预警】关于爆发的 incaseformat 病毒事件分析

发布日期:2021-01-14   阅览:

  近日,广东省网络威胁数据联盟监测到一种名为incaseformat的病毒,全国各个区域都出现了被incaseformat病毒删除文件的用户。
 

一、病毒分析

 从搜索引擎结果来看,该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。病毒文件运行后,首先复制自身到 Windows 目录下(C:\windows\tsay.exe),文件图标伪装为文件夹。


 


经调查,该蠕虫正常情况下表现为文件夹蠕虫,集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于2021年1月13号,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2021年2月4日。

该蠕虫病毒运行后会检测自身执行路径,如在windows目录下则会将其他磁盘的文件进行遍历删除,并留下一个名为incaseformat.log的空文件:



若当前执行路径不在windows目录,则自复制在系统盘的windows目录下,并创建RunOnce注册表值设置开机自启: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe


病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件。


 

此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

二、处置建议

若未出现感染现象建议(其他磁盘文件还未被删除):

1、勿随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;

2、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

3、尽量关闭不必要的共享,或设置共享目录为只读模式;

4、严格规范U盘等移动介质的使用,使用前先进行查杀;

5、重要数据做好备份;

若已出现感染现象建议(其他磁盘文件已被删除):

1、使用安全软件进行全盘查杀,清除病毒残留;

2、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;

切记勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius 等)即可恢复被删除数据



3. 使用R-Studio恢复文件

启动R-Studio,选择要恢复的磁盘,右键点击,打开驱动器文件,右边是可恢复的一些文件数据,勾选要恢复的文件恢复即可。


病毒IOCs(MD5):

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

三、查杀工具

广东省网络威胁数据联盟为广大用户提供免费查杀工具,可下载进行检测查杀(排名不分前后):

深信服EDR:

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

绿盟科技EDR:

https://cd001.www.duba.net/duba/install/packages/ever/kinstnui_150_12.exe

瑞星EDR:

https://120.236.114.197:16143/index.php/instal/downloadPackage?filename=windows_1610554428.exe



安天智甲终端防御系统(IEP):

http://www.antiy.com/download/IEP/setup.zip

 

(来源:广东省网络安全应急响应平台

下一条:国家“互联网+”重大工程保障支撑类项目“面向教育领域的IPv6示范网络”项目通过验收

[关闭]