高危!incaseformat 蠕虫病毒来袭,小心文件被删除

X0_0X 2021-01-14
专栏 - 事件 发布于 2021-01-14 10:03:55 阅读 142 评论 0

病毒名称:incaseformat

病毒性质:蠕虫病毒

影响范围:多省市多行业发现感染案例,有规模爆发趋势

危害等级:高危,可导致用户数据丢失

近日,360安全大脑检测到蠕虫病毒incaseformat大范围爆发, 该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

病毒描述

经分析,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且**具有伪装正常文件夹行为**:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:

解决方案

由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议广大用户在未做好安全防护及病毒查杀工作前 请勿重启主机

  • 若发现带有文件夹图标的EXE文件,除非知道该文件的来源,否则不要打开;

  • 调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,避免被恶意文件夹图标迷惑;

  • 禁止U盘自动运行,关闭U盘自动播放;

  • 打开系统自动更新,并检测更新进行安装;

  • 请到正规网站下载程序;

  • 不要点击来源不明的邮件以及附件,邮件中包含的链接;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口及网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

  • 如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!