incaseformat蠕蟲病毒爆發,深信服免費提供查殺工具

2021-01-18 科技快報網

近日,深信服安全團隊監測到一種名為incaseformat的病毒,全國各個區域都出現了被incaseformat病毒刪除文件的用戶。

經調查,該蠕蟲正常情況下表現為文件夾蠕蟲,執行後會自複製到系統盤Windows目錄下,並創建註冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執行,病毒進程將會遍歷除系統盤外的所有磁碟文件進行刪除,對用戶造成不可挽回的損失。該病毒於1月13日集中爆發是由於病毒代碼中內置了部分特殊日期,在匹配到對應日期後會觸發蠕蟲的刪除文件功能,爆發該蠕蟲事件的用戶感染時間應該早於1月13號,根據分析推測,下次觸發刪除文件行為的時間約為2021年1月23日和2月4日。為此深信服免費提供了查殺工具incaseformat病毒幫助廣大用戶檢測查殺incaseformat。

據了解,該蠕蟲病毒在非Windows目錄下執行時,並不會產生刪除文件行為,但會將自身複製到系統盤的Windows目錄下,創建RunOnce註冊表值設置開機自啟,且具有偽裝正常文件夾行為:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

 當蠕蟲病毒在Windows目錄下執行時,會再次在同目錄下自複製,並修改如下註冊表項調整隱藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統盤外的所有文件,在根目錄留下名為incaseformat.log的空文件。

情況看似簡單,但令人不解的是,該蠕蟲是通過什麼方式進行傳播的呢?又為何會集中爆發?

經過深信服安全專家對病毒文件和威脅情報的詳細分析,有了新的發現。該蠕蟲病毒由Delphi語言編寫,最早出現於2009年,此後每年都有用戶在網絡上發帖求助該病毒的解決方案解決方案。

正常情況下,該病毒表現為一種文件夾蠕蟲,和其他文件夾蠕蟲病毒一樣,通過文件共享或行動裝置進行傳播,並會在共享目錄或行動裝置路徑下將正常的文件夾隱藏,自己則偽裝成文件夾的樣子。

然而,與其他文件夾蠕蟲不同的是,incaseformat蠕蟲病毒在代碼中內置了一顆「定時炸彈」,蠕蟲會獲取受感染主機的當前時間, 獲取到時間後,程序與指定的時間進行了比對,當條件為:

年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29

即2009年後,每個大於3月的1號、10號、21號和29號時會觸發刪除文件操作。

然後通過DecodeDate函數拆分日期,奇妙的是,該程序中的Delphi庫可能出現了錯誤,DateTimeToTimeStamp用於計算的一個變量發生異常:

導致轉換後的時間與真實的主機時間並不相符,因此真實觸發時間與程序設定條件不相同(原本2010年愚人節的啟動時間,錯誤轉換成了2021年1月13日,本次病毒爆發可能是遲到的愚人節玩笑):

分析人員計算隨後會觸發刪除文件操作的日期為,2021年1月23和2月4號:

由於文件夾蠕蟲感染後沒有給主機帶來明顯的損失,大多數用戶都會疏於防範,且文件蠕蟲主要通過文件共享和行動裝置傳播,一旦感染後容易快速蔓延內網,很多此次爆發現象的主機可能在很早前就已經感染。還有一些主機已經潛伏該病毒用戶很可能會在2021年1月23和2月4號被刪除數據。

對此,深信服安全團隊也針對該蠕蟲病毒向廣大用戶提出防範建議:

若主機未出現感染現象(其他磁碟文件還未被刪除):

1、不隨意重啟主機,先使用安全軟體進行全盤查殺,並開啟實時監控等防護功能;

2、 不隨意下載安裝未知軟體,儘量在官方網站進行下載安裝;

3、 儘量關閉不必要的共享,或設置共享目錄為只讀模式;深信服安全團隊提到深信服EDR用戶可使直接用微隔離功能封堵共享埠;

4、 嚴格規範U盤等移動介質的使用,使用前先進行查殺;

5、 重要數據做好備份;

若主機已出現感染現象(其他磁碟文件已被刪除)則:

1、 使用安全軟體進行全盤查殺,清除病毒殘留;

2、 可嘗試使用數據恢復類工具進行恢復,恢復前儘量不要佔用被刪文件磁碟的空間,由於病毒操作的文件刪除並沒有直接從磁碟覆蓋和抹去數據,可能仍有一定機率進行恢復;

深信服也為廣大用戶提供免費檢測查殺工具,可聯繫深信服人員獲取。

與此同時,深信服安全感知平臺、下一代防火牆、EDR用戶,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅。

最後,也再次提醒廣大用戶,安全無小事,一定要做好重要數據備份,以及主機安全防護措施,才能防患於未然!

相關焦點

  • incaseformat蠕蟲病毒爆發 深信服免費提供查殺工具
    近日,深信服安全團隊監測到一種名為incaseformat的病毒,全國各個區域都出現了被incaseformat病毒刪除文件的用戶。該病毒於 1 月 13 日集中爆發是由於病毒代碼中內置了部分特殊日期,在匹配到對應日期後會觸發蠕蟲的刪除文件功能,爆發該蠕蟲事件的用戶感染時間應該早於 1 月 13 號,根據分析推測,下次觸發刪除文件行為的時間約為 2021 年 1 月 23 日和 2 月 4 日。為此深信服免費提供了查殺工具incaseformat病毒幫助廣大用戶檢測查殺incaseformat。
  • incaseformat蠕蟲病毒來襲
    近日發現,名為incaseformat的蠕蟲病毒在國內大面積爆發,感染現象為除C盤外,其他盤全部被格式化,造成數據大量丟失,信息丟失。目前,已發現多個區域不同行業用戶遭到感染,病毒傳播範圍暫未見明顯的針對性。
  • Incaseformat蠕蟲病毒爆發,北信源用戶無需緊張
    摘要:管理員注意,incaseformat蠕蟲病毒來襲!請儘快安裝終端安全管理軟體,進行終端防護及時止損。事件背景:近期,國內多家用戶反饋辦公設備被incaseformat 蠕蟲病毒感染,機器中除了系統盤以外,其他文件全部被刪除。
  • incaseformat蠕蟲病毒:警惕文件被刪除,拒絕被勒索
    近期,不少關於系統安全的網站都在發布:一種名叫「incaseformat」蠕蟲病毒正在肆意傳播。那麼這種病毒有什麼危害呢?其實,它XP時代的「EXE病毒」,感染用戶機器後會通過U盤自我複製感染到其他電腦,導致電腦中磁碟文件被刪除,給用戶造成極大損失。所以,這裡小編提醒大家:近期需要警惕,拒絕因為文件被刪除的勒索!
  • incaseformat病毒發展歷程,如何殺毒及恢復數據!
    近兩日,PC端一種名為incaseformat的蠕蟲病毒在國內爆發,會強制性的自複製並刪除除系統盤外的所有磁碟文件,對用戶造成難以估量的損失。因此,事感焦急,這邊給大家詳細介紹incaseformat病毒發展歷程,如何殺毒及被病毒刪除的數據如何恢復回來,及時止損。
  • 國內突然爆發暴力蠕蟲病毒!已有大量用戶中招:所有文件被刪
    公告顯示:最近,一種名叫「incaseformat」的蠕蟲病毒正在國內肆意傳播,造成了大範圍影響。 據擴展迷查詢到的信息,截止目前,國內已有多省市多行業的大量用戶反饋中招。 中招用戶均表示,自己電腦中除C盤之外的其他文件都突然被刪除,且磁碟中可能被創建「incaseformat」文本文檔。
  • 鄂爾多斯部分單位的計算機已被蠕蟲病毒入侵!
    鄂爾多斯部分單位的計算機已被蠕蟲病毒入侵!,為了保護您的電腦和個人信息,請這樣做↓近日發現,名為incaseformat的蠕蟲病毒在國內大面積爆發,感染現象為除C盤外,其他盤全部被格式化,造成數據大量丟失,信息丟失。
  • Incaseformat病毒大面積突發,警惕文件遭刪除
    什麼是incaseformat病毒?Incaseformat病毒是蠕蟲病毒的一種。關於蠕蟲病毒,大部分夥伴對2007年肆虐的「熊貓燒香」事件都有著深刻的印象。這個病毒僅在兩個月時間內便入侵了上百萬人的電腦,網站崩潰,運行死機。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。
  • 火絨安全關於Incaseformat蠕蟲病毒詳細解答
    1月13日, 「Incaseformat」病毒因其破壞性以及集中爆發的特性,在全網引起了大量用戶的高度關注。火絨安全實驗室迅速對該事件跟進確認,並整理、解答用戶關心的8個重要問題。1、incaseformat病毒是什麼類型病毒?「incaseformat病毒」為蠕蟲病毒,不具備加密文件危害。
  • 【預警】鄂爾多斯部分單位的計算機已被蠕蟲病毒入侵!預防措施→
    【預警】鄂爾多斯部分單位的計算機已被蠕蟲病毒入侵!來源:澎湃新聞·澎湃號·政務 近日發現,名為incaseformat
  • 巴彥淖爾部分單位和個人的計算機被蠕蟲病毒入侵,請大家及時防範
    最近,名為incaseformat的蠕蟲病毒在國內大面積爆發,感染現象為除C盤外,其他盤全部被格式化,造成數據大量丟失,信息丟失。記者從臨河區公安局網絡安全保衛大隊了解到,巴彥淖爾部分單位和個人的計算機已被蠕蟲病毒入侵,造成了嚴重後果。
  • 大名鼎鼎的pc蠕蟲病毒再度爆發,可以刪除所有軟體,但是有措施。
    近日有多名用戶表示自己的電腦感染了蠕蟲病毒「incaseformat」。該病毒會通過U盤自我複製從而感染其他電腦,導致電腦中的文件被刪除,許多科技公司也表示檢測到新型蠕蟲病毒。
  • 破壞力極強的電腦incaseformat蠕蟲病毒來襲,破壞力令人很反感!
    深信服安全團隊監測到一種名為incaseformat的蠕蟲病毒在國內爆發,根據大數據顯示,今日電腦維修行業生意極其火爆,該電腦蠕蟲病毒在多省市多行業發現感染案例,有規模爆發趨勢,電腦中了incaseformat蠕蟲病毒後,該病毒程序會自動複製到系統Windows目錄下,同時它自動在系統註冊表中創建開機自動啟動
  • INCASEFORMAT 病毒來襲!避免文件遭刪除
    獵鷹安全解決方案一、事件簡介昨天開始INCASEFORMAT 病毒大面積爆發。今日獵鷹安全收到用戶上報的相關問題,反應很多電腦開機就出現除C盤外數據丟失或直接被格式化,獵鷹安全提醒用戶,如有重要數據不要向數據盤裡再存入數據!固態硬碟可能存在數據丟失。
  • incaseformat蠕蟲病毒來襲,磁碟文件被大規模刪除
    2021年1月13日,一種名為incaseformat的蠕蟲病毒在國內爆發。該蠕蟲病毒執行後會自複製到系統盤Windows目錄下,並創建註冊表自啟動,刪除用戶除C盤以外的所有磁碟文件,危害極大。
  • 計算機蠕蟲病毒再度爆發?這次不必太過恐慌
    科技自媒體 / 東方亦落曾令人恐慌的蠕蟲病毒又來了?近日有用戶表示自己的電腦感染了蠕蟲病毒「incaseformat」。該病毒會通過U盤自我複製從而感染其他電腦,導致電腦中的文件被刪除。此次的病毒與常見的蠕蟲病毒不同。
  • 「狂刪文件」蠕蟲病毒近期還將發作
    國內多家安全公司13日都檢測到臭名昭著的蠕蟲病毒incaseformat大範圍發作。一旦感染這種病毒,電腦重啟後,除系統盤外的所有磁碟文件都會被刪除,造成極大損失,社交媒體上14日充斥著中招用戶的慘痛經歷。據國內最大的網絡安全公司360公司介紹,incaseformat早在數年前就已出現,每隔一段時間就會發作一次。
  • 對incaseformat蠕蟲事件一些思考
    對incaseformat蠕蟲事件一些思考 昨天incaseformat蠕蟲病毒在全國爆發,各大安全廠商相繼發布公告,安全產業似乎又迎來了新的發展機會。
  • 深信服連續十年入選Gartner SWG 魔力象限
    在對未知威脅的檢測和病毒查殺能力上,深信服全網行為管理AC充分發揮整合優勢,雲端集成安全雲腦及SAVE人工智慧殺毒引擎實時賦能,端點側聯動終端檢測響應平臺EDR對終端風險進行及時查殺,形成「雲-網-端」立體式的終端上網安全閉環防護,大幅提升企業未知威脅檢測和病毒查殺效果。