突发：incaseformat蠕虫病毒来袭,教你小技巧不怕数据被删

前言：根据国内头部安全企业，360、火绒、深信服等公布的最新消息，称监测到一种名为incasefrmat的计算机蠕虫病毒在国内大范围爆发，同时已经发现多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。


该蠕虫病毒执行后，会自动复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

incaseformat蠕虫病毒发现至今已有十多年历史，一般通过U盘进行传播，该蠕虫病毒会遍历删除系统盘以外的文件，并在根目录下创建名为incaseformat.log的空文件，由于病毒代码中设置变量值的错误，导致计算当前系统时间出错，所以直到2021年1月13日才被触发。


据安全监测机构预计，名为incasefrmat的计算机蠕虫病毒可能会在2021年1月23日、2月4日再次爆发，建议用户提前做好预防数据丢失的防范工作。


病毒名称：incaseformat

病毒性质：蠕虫病毒

影响范围：多省市多行业发现感染案例，有规模爆发趋势

危害等级：高危，可导致用户数据丢失


问题1：什么是“incaseformat蠕虫病毒”？


蠕虫病毒：是诸多常见的计算机病毒中的一种，蠕虫病毒主要通过网络（计算机漏洞、聊天工具、邮件等）和存储工具U盘途径传播，通过隐藏在普通的文件中，比如DOC、PPT、JPG等日常文件中。蠕虫是一种不断自我复制裂变的代码，在入侵一台计算机完全控制后，会将该计算机作为宿主继续传播感染其他计算机，类似棋盘摆米似的倍数增长。


问题2：“incaseformat蠕虫病毒”原理？


计算机在感染该病毒后程序自动运行，若处于非Windows目录下运行时，则自动将本程序代码复制到系统盘符下的Windows目录中（C:/windows/tsay/tsay.exe）再次运行，此时会在注册表中自动创建开机自动启动的服务，完成开启自启服务创建后退出，此时不会自动删除电脑中的文件，此时也是查杀该病毒的最佳机会。


而一旦错过这个机会后，用户进行关机再开启或者重启操作后，该病毒就会在开机时自动启动，通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除，造成用户数据丢失带来不可估量的损失。


问题3：“incaseformat蠕虫病毒”排查方法？


1）检测是否存在以下文件



C:\Windows\tsay.exe



C:\Windows\ttry.exe




2）检测注册表路径



“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”项。



重点：incaseformat蠕虫病毒会自动删除计算机非系统盘的其他存储区域的数据，传播性强，隐蔽性高、危害性大，需要重点防范。



图片
火绒工程师分析发现，此次的病毒与常见的蠕虫病毒不同，除了具有伪装文件夹图标，隐藏原始文件夹的危害以外，还设置了定时删除文件的逻辑。一旦满足设定的时间，将会删除用户电脑中除C盘之外的其他盘符的所有文件，并且可能在磁盘根目录创建“incaseformat.txt”文本文档。



此次有大量用户被删文件的原因，是因为这些用户对该病毒进行了信任，或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。



蠕虫病毒因其会伪装成其他文件、不断复制自身的特性，具有非常强的传播性。即便被安全软件查杀，也经常会被用户错当成“误杀”，进行信任处理。也因此，蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。

解决方案，由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，建议用户在未做好安全防护及病毒查杀工作前，请勿重启主机！


1、不随意下载，安装未知软件，不随便打开共享文件，尽量在官方渠道下载软件



2、尽量关闭不必要的共享，或设置共享目录为只读模式，打开电脑的防火墙，并且在自己的电脑上安装电脑防护软件，如：电脑管家、360、火绒等



3、严格规范U盘等移动介质的使用，使用前先进行查杀



4、保持系统以及软件及时更新，定期排查内部系统漏洞、弱口令等



5、如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件



以下是系统总裁对该病毒的一个样本，给大家做的分析



首先这个病毒第一次感染的文件名是\Windows\tsay.exe



并在如下注册表创建启动项：



1、64位系统是

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa



2、32位系统是

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa



这时候病毒还没有做删除文件的相关恶意操作

更多防御及中毒后系统维护，请联系通江迅达科技。
建议安装正版系统和软件，能够更有效防御病毒危害！
联系方式：18123187654
地址：红军北路156号附5号

来自安卓APP客户端