incaseformat蠕虫病毒来袭,教你小技巧不怕数据被删

incaseformat蠕虫病毒来袭,教你小技巧不怕数据被删

前言:根据国内头部安全企业,360、火绒、深信服等公布的最新消息,称监测到一种名为incasefrmat的计算机蠕虫病毒在国内大范围爆发,同时已经发现多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

该蠕虫病毒执行后,会自动复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

incaseformat蠕虫病毒

incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到2021年1月13日才被触发。

据安全监测机构预计,名为incasefrmat的计算机蠕虫病毒可能会在2021年1月23日、2月4日再次爆发,建议用户提前做好预防数据丢失的防范工作。

病毒名称:incaseformat

病毒性质:蠕虫病毒

影响范围:多省市多行业发现感染案例,有规模爆发趋势

危害等级:高危,可导致用户数据丢失

问题1:什么是“incaseformat蠕虫病毒”?

蠕虫病毒:是诸多常见的计算机病毒中的一种,蠕虫病毒主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具U盘途径传播,通过隐藏在普通的文件中,比如DOC、PPT、JPG等日常文件中。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会将该计算机作为宿主继续传播感染其他计算机,类似棋盘摆米似的倍数增长。

问题2:“incaseformat蠕虫病毒”原理?

计算机在感染该病毒后程序自动运行,若处于非Windows目录下运行时,则自动将本程序代码复制到系统盘符下的Windows目录中(C:/windows/tsay/tsay.exe)再次运行,此时会在注册表中自动创建开机自动启动的服务,完成开启自启服务创建后退出,此时不会自动删除电脑中的文件,此时也是查杀该病毒的最佳机会。

而一旦错过这个机会后,用户进行关机再开启或者重启操作后,该病毒就会在开机时自动启动,通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除,造成用户数据丢失带来不可估量的损失。

“incaseformat蠕虫病毒”原理?

问题3:“incaseformat蠕虫病毒”排查方法?

1)检测是否存在以下文件

C:\Windows\tsay.exe

C:\Windows\ttry.exe

“incaseformat蠕虫病毒”排查方法?

2)检测注册表路径

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”项。

重点:incaseformat蠕虫病毒会自动删除计算机非系统盘的其他存储区域的数据,传播性强,隐蔽性高、危害性大,需要重点防范。

火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。

此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。

蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。

incaseformat

解决方案,由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议用户在未做好安全防护及病毒查杀工作前,请勿重启主机!

1、不随意下载,安装未知软件,不随便打开共享文件,尽量在官方渠道下载软件

2、尽量关闭不必要的共享,或设置共享目录为只读模式,打开电脑的防火墙,并且在自己的电脑上安装电脑防护软件,如:电脑管家、360、火绒等

3、严格规范U盘等移动介质的使用,使用前先进行查杀

4、保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等

5、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件

以下是系统总裁对该病毒的一个样本,给大家做的分析

首先这个病毒第一次感染的文件名是\Windows\tsay.exe

并在如下注册表创建启动项:

1、64位系统是

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

2、32位系统是

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

这时候病毒还没有做删除文件的相关恶意操作

注册表创建启动项

重启电脑后会发现,多生成了一个文件\Windows\ttry.exe,并多出来一个ttry.exe的进程

ttry.exe

此时非系统盘的文件夹全部被删除,并被病毒创建了一个假的exe文件夹图标程序用来进一步扩散。

假的exe文件夹

到这里病毒的执行流程和结果已经分析完毕。

我们可以针对性的处理。这里需要借助USM优盘魔术师PE在PE下操作。发现文件被删,要尽快关电脑,如果是机械硬盘可以在PE下恢复数据,如果是固态硬盘的话难度就很大了。

在PE下删除\Windows\tsay.exe和\Windows\ttry.exe文件

删除文件

 

清理如下注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

msfsa

然后再删除非系统盘里的文件夹图标程序,最后再进行数据恢复。

数据恢复

其实如果你要处理的快的话,你会惊奇的发现非系统盘的文件,病毒还没来得及删除,只是先把文件夹都隐藏了并等待删除。

最后告诉大家一个小招,也许可以预防。在Windows目录下创建两个记事本文件,并分别更改文件名为tsay.exe和ttry.exe,再把两个文件的所有权限都删除(具体方法大家自行修炼吧)

预防incaseformat蠕虫病毒

最后,希望系统总裁的这篇文章能帮助到大家!

给TA打赏
共{{data.count}}人
人已打赏
电脑技术

win10玩游戏一会儿就蓝屏|win10玩游戏蓝屏死机

2024-4-2 9:19:02

电脑技术

分享好用的 ApowerREC(电脑录屏软件) 破解版教程【图

2024-4-2 9:21:25

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索
打开微信,扫描左侧二维码,关注【旅游人lvyouren】,发送【101】获取验证码,输入获取到的验证码即可解锁复制功能,解锁之后可复制网站任意一篇文章,验证码每月更新一次。
提交