你现在的位置:首页-技术文献-其他-incaseformat蠕虫病毒来袭,教你小技巧不怕数据被删

incaseformat蠕虫病毒来袭,教你小技巧不怕数据被删

2021-01-22 17:45:12 来源:系统总裁 作者:sysceo 分类:其他

前言:根据国内头部安全企业,360、火绒、深信服等公布的最新消息,称监测到一种名为incasefrmat的计算机蠕虫病毒在国内大范围爆发,同时已经发现多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。


该蠕虫病毒执行后,会自动复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。


incaseformat蠕虫病毒


incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到2021年1月13日才被触发。


据安全监测机构预计,名为incasefrmat的计算机蠕虫病毒可能会在2021年1月23日、2月4日再次爆发,建议用户提前做好预防数据丢失的防范工作。


病毒名称:incaseformat

病毒性质:蠕虫病毒

影响范围:多省市多行业发现感染案例,有规模爆发趋势

危害等级:高危,可导致用户数据丢失


问题1:什么是“incaseformat蠕虫病毒”?


蠕虫病毒:是诸多常见的计算机病毒中的一种,蠕虫病毒主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具U盘途径传播,通过隐藏在普通的文件中,比如DOC、PPT、JPG等日常文件中。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会将该计算机作为宿主继续传播感染其他计算机,类似棋盘摆米似的倍数增长。


问题2:“incaseformat蠕虫病毒”原理?


计算机在感染该病毒后程序自动运行,若处于非Windows目录下运行时,则自动将本程序代码复制到系统盘符下的Windows目录中(C:/windows/tsay/tsay.exe)再次运行,此时会在注册表中自动创建开机自动启动的服务,完成开启自启服务创建后退出,此时不会自动删除电脑中的文件,此时也是查杀该病毒的最佳机会。


而一旦错过这个机会后,用户进行关机再开启或者重启操作后,该病毒就会在开机时自动启动,通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除,造成用户数据丢失带来不可估量的损失。


“incaseformat蠕虫病毒”原理?


问题3:“incaseformat蠕虫病毒”排查方法?


1)检测是否存在以下文件


C:\Windows\tsay.exe


C:\Windows\ttry.exe


“incaseformat蠕虫病毒”排查方法?


2)检测注册表路径


“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”项。


重点:incaseformat蠕虫病毒会自动删除计算机非系统盘的其他存储区域的数据,传播性强,隐蔽性高、危害性大,需要重点防范。


火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。


此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。


蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。


incaseformat


解决方案,由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议用户在未做好安全防护及病毒查杀工作前,请勿重启主机!


1、不随意下载,安装未知软件,不随便打开共享文件,尽量在官方渠道下载软件


2、尽量关闭不必要的共享,或设置共享目录为只读模式,打开电脑的防火墙,并且在自己的电脑上安装电脑防护软件,如:电脑管家、360、火绒等


3、严格规范U盘等移动介质的使用,使用前先进行查杀


4、保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等


5、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件


以下是系统总裁对该病毒的一个样本,给大家做的分析


首先这个病毒第一次感染的文件名是\Windows\tsay.exe


并在如下注册表创建启动项:


1、64位系统是


HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa


2、32位系统是


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa


这时候病毒还没有做删除文件的相关恶意操作


注册表创建启动项


重启电脑后会发现,多生成了一个文件\Windows\ttry.exe,并多出来一个ttry.exe的进程


ttry.exe


此时非系统盘的文件夹全部被删除,并被病毒创建了一个假的exe文件夹图标程序用来进一步扩散。


假的exe文件夹


到这里病毒的执行流程和结果已经分析完毕。


我们可以针对性的处理。这里需要借助USM优盘魔术师PE在PE下操作。发现文件被删,要尽快关电脑,如果是机械硬盘可以在PE下恢复数据,如果是固态硬盘的话难度就很大了。


在PE下删除\Windows\tsay.exe和\Windows\ttry.exe文件


删除文件

清理如下注册表启动项


HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa


msfsa


然后再删除非系统盘里的文件夹图标程序,最后再进行数据恢复。


数据恢复


其实如果你要处理的快的话,你会惊奇的发现非系统盘的文件,病毒还没来得及删除,只是先把文件夹都隐藏了并等待删除。


最后告诉大家一个小招,也许可以预防。在Windows目录下创建两个记事本文件,并分别更改文件名为tsay.exe和ttry.exe,再把两个文件的所有权限都删除(具体方法大家自行修炼吧)


预防incaseformat蠕虫病毒


最后,希望系统总裁的这篇文章能帮助到大家!


相关推荐
incaseformat蠕虫病毒来袭,教你小技巧不怕数据被删