请选择 进入手机版 | 继续访问电脑版
 找回密码
注册
查看: 2211|回复: 4

incaseformat蠕虫病毒来袭,教你小技巧不怕数据被删

[复制链接]
  • TA的每日心情
    开心
    2017-5-17 11:34
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2021-1-24 01:01:58 | 显示全部楼层 |阅读模式
    前言:根据国内头部安全企业,360、火绒、深信服等公布的最新消息,称监测到一种名为incasefrmat的计算机蠕虫病毒在国内大范围爆发,同时已经发现多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

    该蠕虫病毒执行后,会自动复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。


    incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到2021年1月13日才被触发。

    据安全监测机构预计,名为incasefrmat的计算机蠕虫病毒可能会在2021年1月23日、2月4日再次爆发,建议用户提前做好预防数据丢失的防范工作。

    病毒名称:incaseformat
    病毒性质:蠕虫病毒
    影响范围:多省市多行业发现感染案例,有规模爆发趋势
    危害等级:高危,可导致用户数据丢失

    问题1:什么是“incaseformat蠕虫病毒”?

    蠕虫病毒:是诸多常见的计算机病毒中的一种,蠕虫病毒主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具U盘途径传播,通过隐藏在普通的文件中,比如DOC、PPT、JPG等日常文件中。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会将该计算机作为宿主继续传播感染其他计算机,类似棋盘摆米似的倍数增长。

    问题2:“incaseformat蠕虫病毒”原理?

    计算机在感染该病毒后程序自动运行,若处于非Windows目录下运行时,则自动将本程序代码复制到系统盘符下的Windows目录中(C:/windows/tsay/tsay.exe)再次运行,此时会在注册表中自动创建开机自动启动的服务,完成开启自启服务创建后退出,此时不会自动删除电脑中的文件,此时也是查杀该病毒的最佳机会。

    而一旦错过这个机会后,用户进行关机再开启或者重启操作后,该病毒就会在开机时自动启动,通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除,造成用户数据丢失带来不可估量的损失。


    问题3:“incaseformat蠕虫病毒”排查方法?

    1)检测是否存在以下文件

    C:\Windows\tsay.exe

    C:\Windows\ttry.exe


    2)检测注册表路径

    “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”项。

    重点:incaseformat蠕虫病毒会自动删除计算机非系统盘的其他存储区域的数据,传播性强,隐蔽性高、危害性大,需要重点防范。

    火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。

    此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。

    蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。


    解决方案,由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议用户在未做好安全防护及病毒查杀工作前,请勿重启主机!

    1、不随意下载,安装未知软件,不随便打开共享文件,尽量在官方渠道下载软件

    2、尽量关闭不必要的共享,或设置共享目录为只读模式,打开电脑的防火墙,并且在自己的电脑上安装电脑防护软件,如:电脑管家、360、火绒等

    3、严格规范U盘等移动介质的使用,使用前先进行查杀

    4、保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等

    5、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件

    以下是系统总裁对该病毒的一个样本,给大家做的分析

    首先这个病毒第一次感染的文件名是\Windows\tsay.exe

    并在如下注册表创建启动项:

    1、64位系统是

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

    2、32位系统是

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

    这时候病毒还没有做删除文件的相关恶意操作


    重启电脑后会发现,多生成了一个文件\Windows\ttry.exe,并多出来一个ttry.exe的进程


    此时非系统盘的文件夹全部被删除,并被病毒创建了一个假的exe文件夹图标程序用来进一步扩散。


    到这里病毒的执行流程和结果已经分析完毕。

    我们可以针对性的处理。这里需要借助USM优盘魔术师PE在PE下操作。发现文件被删,要尽快关电脑,如果是机械硬盘可以在PE下恢复数据,如果是固态硬盘的话难度就很大了。

    在PE下删除\Windows\tsay.exe和\Windows\ttry.exe文件


    清理如下注册表启动项

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa


    然后再删除非系统盘里的文件夹图标程序,最后再进行数据恢复。


    其实如果你要处理的快的话,你会惊奇的发现非系统盘的文件,病毒还没来得及删除,只是先把文件夹都隐藏了并等待删除。

    最后告诉大家一个小招,也许可以预防。在Windows目录下创建两个记事本文件,并分别更改文件名为tsay.exe和ttry.exe,再把两个文件的所有权限都删除(具体方法大家自行修炼吧)


    最后,希望系统总裁的这篇文章能帮助到大家!





    上一篇:求问下10代CPU怎么装Win7的32位
    下一篇:驱动总裁封装到系统展开进入系统后桌面的驱动总裁图标无法删除

    该用户从未签到

    发表于 2021-1-24 08:52:51 | 显示全部楼层
    感谢分享,受教了!@
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    7 小时前
  • 签到天数: 21 天

    [LV.4]偶尔看看III

    发表于 2021-1-25 14:20:35 | 显示全部楼层
    感谢分享,受教了.....
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2021-1-29 02:24:24 来自手机 | 显示全部楼层
    刚好我只有一个系统盘,没有其他盘
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    12 小时前
  • 签到天数: 214 天

    [LV.7]常住居民III

    发表于 2021-2-19 09:04:41 | 显示全部楼层
    看看,感谢楼主分享!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则