目前,已發(fā)現(xiàn)國內多個區(qū)域不同行業(yè)用戶遭到感染,病毒傳播范圍暫未見明顯的針對性。
- 病毒名稱:incaseformat
- 病毒性質:蠕蟲病毒
- 影響范圍:多省市多行業(yè)發(fā)現(xiàn)感染案例,有規(guī)模爆發(fā)趨勢
- 危害等級:高危,可導致用戶數(shù)據丟失
病毒描述
經分析,該蠕蟲病毒在非Windows目錄下執(zhí)行時,并不會產生刪除文件行為,但會將自身復制到系統(tǒng)盤的Windows目錄下,創(chuàng)建RunOnce注冊表值設置開機自啟,且具有偽裝正常文件夾行為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
當蠕蟲病毒在Windows目錄下執(zhí)行時,會再次在同目錄下自復制,并修改如下注冊表項調整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統(tǒng)盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:
解決方案
由于該病毒只有在Windows目錄下執(zhí)行時會觸發(fā)刪除文件行為,重啟會導致病毒在Windows目錄下自啟動,因此,深信服安全團隊建議廣大用戶在未做好安全防護及病毒查殺工作前請勿重啟主機:
- 不要隨意下載安裝未知軟件,盡量在官方網站進行下載安裝;
- 盡量關閉不必要的共享,或設置共享目錄為只讀模式;深信服EDR用戶可使用微隔離功能封堵共享端口;
- 嚴格規(guī)范U盤等移動介質的使用,使用前先進行查殺;
- 如發(fā)現(xiàn)已感染主機,先斷開網絡,使用安全產品進行全盤掃描查殺再嘗試使用數(shù)據恢復類軟件。深信服為廣大用戶提供免費查殺工具,可下載如下工具,進行檢測查殺:
64位系統(tǒng)下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統(tǒng)下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
與此同時,深信服安全感知平臺、下一代防火墻、EDR用戶,建議及時升級最新版本,并接入安全云腦,使用云查服務以及時檢測防御新威脅。
咨詢與服務
您可以通過以下方式聯(lián)系我們,獲取關于incaseformat的免費咨詢及支持服務:
1)撥打電話400-005-5530專線
2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢
3)PC端訪問深信服區(qū)
bbs.sangfor.com.cn,選擇右側智能客服,進行咨詢
來源:深信服科技微信公眾號
來源:深信服科技微信公眾號
