獵鷹安全解決方案
一、事件簡介
昨天開始INCASEFORMAT 病毒大面積爆發。今日獵鷹安全收到用戶上報的相關問題,反應很多電腦開機就出現除C盤外數據丟失或直接被格式化,獵鷹安全提醒用戶,如有重要數據不要向數據盤裡再存入數據!固態硬碟可能存在數據丟失。如沒有發生此狀況的,注意不要點不明連結,不要更新漏洞補丁!!!!!!
二、病毒分析
電腦中除C盤之外的其他磁碟文件都被刪除,且磁碟中可能被創建「incaseformat」文本文檔。
經過查看故障環境,確認問題原因是電腦中病毒後,病毒文件通過DeleteFileA和RemoveDirectory代碼實現了刪除文件和目錄的行為。
病毒類型:蠕蟲病毒
傳播方式:U盤隱藏正常文件夾,並替換為同名樣本母體
行為特徵:
1. 刪除C盤以外的盤符數據,釋放文件incaseformat.txt
2. 拷貝副本至C:\windows\ttry.exe、C:\windows\tsay.exe
3. 已知md5:
1071d6d497a10cef44db396c07ccde65
4. 註冊表創建啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
三、預防方式
1.確保近期內做一次雲轉查,使本地新型樣本更新到最新。
2.確保終端開啟監控模式。
3.確保開啟邊界防禦,當U盤接入電腦會進行報毒攔截,提高防殺毒意識,對重要文件數據做好備份,使用U盤前進行安全檢測,不要直接運行文件。
4. VGM防毒牆可利用威脅情報追溯威脅行為軌跡,幫助用戶進行威脅行為分析、定位威脅源和目的,追溯攻擊的手段和路徑,從源頭解決網絡威脅,最大範圍內發現被攻擊的節點,幫助企業更快響應和處理。
四、病毒處理方式
1.針對此問題只需進行全盤掃描對該病毒查殺。
2.為避免此類病毒大規模爆發,獵鷹安全建議用戶制定每周定時全盤查殺策略,做到每周至少一次全網全盤掃描。