突發(fā)!incaseformat蠕蟲病毒來襲,警惕文件遭刪除

發(fā)布日期:2021/01/18 08:00:00

1月13日,一種名為incaseformat的蠕蟲病毒在國內(nèi)爆發(fā), 該蠕蟲病毒執(zhí)行后會自復(fù)制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動(dòng),一旦用戶重啟主機(jī),使得病毒母體從Windows目錄執(zhí)行,病毒進(jìn)程將會遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除,對用戶造成不可挽回的損失。

目前,已發(fā)現(xiàn)國內(nèi)多個(gè)區(qū)域不同行業(yè)用戶遭到感染,病毒傳播范圍暫未見明顯的針對性。

病毒名稱:incaseformat

病毒性質(zhì):蠕蟲病毒

影響范圍:多省市多行業(yè)發(fā)現(xiàn)感染案例,有規(guī)模爆發(fā)趨勢

危害等級:高危,可導(dǎo)致用戶數(shù)據(jù)丟失


病毒描述

經(jīng)分析,該蠕蟲病毒在非Windows目錄下執(zhí)行時(shí),并不會產(chǎn)生刪除文件行為,但會將自身復(fù)制到系統(tǒng)盤的Windows目錄下,創(chuàng)建RunOnce注冊表值設(shè)置開機(jī)自啟,且具有偽裝正常文件夾行為:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當(dāng)蠕蟲病毒在Windows目錄下執(zhí)行時(shí),會再次在同目錄下自復(fù)制,并修改如下注冊表項(xiàng)調(diào)整隱藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統(tǒng)盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:


解決方案

由于該病毒只有在Windows目錄下執(zhí)行時(shí)會觸發(fā)刪除文件行為,重啟會導(dǎo)致病毒在Windows目錄下自啟動(dòng),因此,深信服安全團(tuán)隊(duì)建議廣大用戶在未做好安全防護(hù)及病毒查殺工作前 請勿重啟主機(jī):

1、 不要隨意下載安裝未知軟件,盡量在官方網(wǎng)站進(jìn)行下載安裝;

2、盡量關(guān)閉不必要的共享,或設(shè)置共享目錄為只讀模式;

3、 嚴(yán)格規(guī)范U盤等移動(dòng)介質(zhì)的使用,使用前先進(jìn)行查殺;

4、 如發(fā)現(xiàn)已感染主機(jī),先斷開網(wǎng)絡(luò),使用安全產(chǎn)品進(jìn)行全盤掃描查殺再嘗試使用數(shù)據(jù)恢復(fù)類軟件。 

對于不幸中病毒的用戶,可撥打我們的服務(wù)電話:400-617-5181獲取服務(wù)支持,作為專業(yè)IT運(yùn)維服務(wù)商,我們以服務(wù)用戶為根本,為用戶打造更加貼心、完善的服務(wù)。

官網(wǎng)文章下方二維碼.jpg

同創(chuàng)雙子為企業(yè)保駕護(hù)航

專注數(shù)字化方案建設(shè),推動(dòng)智慧企業(yè)生態(tài)圈的升級發(fā)展

邵东县| 罗田县| 安图县| 玛沁县| 理塘县| 苍南县| 宝应县| 泽普县| 宝丰县| 长宁县| 福建省| 沛县| 镇江市| 乌拉特前旗| 东台市| 怀宁县| 黎平县| 南京市| 弥勒县| 陵川县| 洞口县| 乌兰县| 禹州市| 绥宁县| 花垣县| 凤翔县| 芒康县| 从化市| 正阳县| 苏州市| 阿拉善左旗| 鹤壁市| 松原市| 应城市| 肥城市| 驻马店市| 梁平县| 刚察县| 怀仁县| 台江县| 文化|