摘要:管理員注意,incaseformat蠕蟲病毒來襲!請儘快安裝終端安全管理軟體,進行終端防護及時止損。
事件背景:
近期,國內多家用戶反饋辦公設備被incaseformat 蠕蟲病毒感染,機器中除了系統盤以外,其他文件全部被刪除。
Incaseformat病毒本身是一個老病毒,其通過U盤及共享文件夾等進行傳播,該病毒會循環遍歷刪除系統盤外其他磁碟的文件,並複製病毒到當前文件夾相同的位置,由於其預製的觸發時間到期,病毒脫離潛伏,開始爆發。
運行分析:
Incaseformat病毒通過U盤或共享文件夾等進行傳播後,會將自身設置成文件夾圖標,並隱藏exe後綴名。通過誘導用戶點擊或雙擊打開與偽裝文件夾同名的隱藏文件夾,複製病毒到windows目錄。incaseformat 蠕蟲病毒第一次運行後,不會有惡意行為,為防止用戶發現異常,該病毒首先會判斷是否在系統盤目錄下和自身文件名,隨後進行自複製和設置註冊表自啟動,啟動後判斷自身文件路徑是否為 "C:\windows\tsay.exe" 或者 "C:\windows\ttry.exe"。待重啟計算機後蠕蟲病毒特定時間條件下開始下一步運行,其會循環遍歷刪除系統盤以外的所有文件,並在根路徑下留下incaseformat.log文件。
在大數據時代下,企業擁有一套應對風險、威脅以及漏洞的定期管理防護體系,在安全事件響應的生命周期中顯得尤其重要。有效的安全應急響應體系使企業在面對安全事件時,能夠及時啟動應對措施。
北信源新一代終端安全管理體系,從內網安全、數據安全、邊界安全、防病毒等方向對Windows終端、國產終端、移動終端、虛擬化終端提供全方位、立體化的安全防護體系,目前已廣泛應用於政府、軍隊軍工、公安、金融、能源等重要單位,成功部署數千萬終端。
解決方案:
方案1:使用北信源終端安全管理系統,禁用tsay.exe、 ttry.exe進程,防止病毒運行,並查找曾運行的進程,發現並處理感染源。
方案2:使用北信源安全U盤,禁用網絡共享,從根本上防止病毒傳播。北信源安全U盤具備特有的私有化文件系統及安全傳輸機制,可有效防止病毒自動複製、自動運行,從原理上控制Incaseformat變種病毒。
方案3:使用北信源殺毒軟體防範病毒運行:
病毒文件運行時殺毒軟體會彈出提示框,彈出提示時立即刪除。
病毒運行時,殺毒軟體會提示病毒正在修改註冊表,立即阻止。
此外,對出現病毒現象的主機應直接全盤查殺,由於重啟會觸發病毒的全盤刪除機制,因此在確認清除病毒前請勿重啟計算機。
安全建議:
辦公設備不使用U盤等移動存儲介質,在必要情況下,建議使用移動存儲介質管理產品進行防護控制。
不隨便打開或拷貝共享文件,下載郵件或軟體時需留意文件後綴是否是.exe以及文件夾圖標樣式。
一旦發現電腦異常(如:發現文件夾圖標文件後綴為.exe或者在磁碟根目錄發現創建「incaseformat.txt」文件),請勿重啟電腦,可使用北信源防病毒執行全盤查殺清除病毒。
若已經重啟電腦導致除C盤外其他盤文件被刪除,可重新安裝北信源殺毒進行全盤掃描,並在殺毒後嘗試利用數據恢復軟體恢復數據,或請專業數據恢復公司進行數據恢復。
北信源,為您的信息安全保駕護航!