incaseformat蠕虫病毒爆发,深信服免费提供查杀工具

安全 应用安全
近日,深信服安全团队监测到一种名为incaseformat的病毒,全国各个区域都出现了被incaseformat病毒删除文件的用户。

近日,深信服安全团队监测到一种名为incaseformat的病毒,全国各个区域都出现了被incaseformat病毒删除文件的用户。

经调查,该蠕虫正常情况下表现为文件夹蠕虫,执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。该病毒于1月13日集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于1月13号,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2月4日。为此深信服免费提供了查杀工具incaseformat病毒帮助广大用户检测查杀incaseformat。

据了解,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 

值: C:\windows\tsay.exe

发!incaseformat蠕虫病毒来袭,警惕文件遭删除

当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件

  1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1 
  2.  
  3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0 

最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件。

情况看似简单,但令人不解的是,该蠕虫是通过什么方式进行传播的呢?又为何会集中爆发?

经过深信服安全专家对病毒文件和威胁情报的详细分析,有了新的发现。该蠕虫病毒由Delphi语言编写,最早出现于2009年,此后每年都有用户在网络上发帖求助该病毒的解决方案。

发!incaseformat蠕虫病毒来袭,警惕文件遭删除

正常情况下,该病毒表现为一种文件夹蠕虫,和其他文件夹蠕虫病毒一样,通过文件共享或移动设备进行传播,并会在共享目录或移动设备路径下将正常的文件夹隐藏,自己则伪装成文件夹的样子。

然而,与其他文件夹蠕虫不同的是,incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”,蠕虫会获取受感染主机的当前时间, 获取到时间后,程序与指定的时间进行了比对,当条件为:

年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29

即2009年后,每个大于3月的1号、10号、21号和29号时会触发删除文件操作。

然后通过DecodeDate函数拆分日期,奇妙的是,该程序中的Delphi库可能出现了错误,DateTimeToTimeStamp用于计算的一个变量发生异常:

发!incaseformat蠕虫病毒来袭,警惕文件遭删除

导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本2010年愚人节的启动时间,错误转换成了2021年1月13日,本次病毒爆发可能是迟到的愚人节玩笑)

发!incaseformat蠕虫病毒来袭,警惕文件遭删除

分析人员计算随后会触发删除文件操作的日期为,2021年1月23和2月4号:

发!incaseformat蠕虫病毒来袭,警惕文件遭删除

由于文件夹蠕虫感染后没有给主机带来明显的损失,大多数用户都会疏于防范,且文件蠕虫主要通过文件共享和移动设备传播,一旦感染后容易快速蔓延内网,很多此次爆发现象的主机可能在很早前就已经感染。还有一些主机已经潜伏该病毒用户很可能会在2021年1月23和2月4号被删除数据。

对此,深信服安全团队也针对该蠕虫病毒向广大用户提出防范建议:

若主机未出现感染现象(其他磁盘文件还未被删除):

1、不随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;

2、 不随意下载安装未知软件,尽量在官方网站进行下载安装;

3、 尽量关闭不必要的共享,或设置共享目录为只读模式;深信服安全团队提到深信服EDR用户可使直接用微隔离功能封堵共享端口;

4、 严格规范U盘等移动介质的使用,使用前先进行查杀;

5、 重要数据做好备份;

若主机已出现感染现象(其他磁盘文件已被删除)则:

1、 使用安全软件进行全盘查杀,清除病毒残留;

2、 可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;

深信服也为广大用户提供免费查杀工具,可下载如下工具,进行检测查杀:

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

与此同时,深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁。

发!incaseformat蠕虫病毒来袭,警惕文件遭删除

最后,也再次提醒广大用户,安全无小事,一定要做好重要数据备份。针对目前还未部署备份方案的用户,深信服企业级备份一体机可以帮助用户防患于未然,守好数据安全的“最后一道防线”!

 

责任编辑:张燕妮 来源: 51CTO
相关推荐

2021-01-14 16:28:15

蠕虫病毒删除系统安全专家

2021-01-15 10:00:19

病毒蠕虫删除文件

2020-02-10 12:38:04

远程办公深信服

2021-01-14 23:24:38

incaseforma蠕虫病毒

2010-09-29 10:37:02

2020-04-07 19:05:17

深信服

2021-02-02 15:22:42

品高存储预警

2011-08-09 10:51:05

2011-05-13 14:59:05

深信服

2009-07-07 22:52:21

2011-03-18 09:40:50

2009-12-22 10:29:27

2011-01-26 11:42:57

云查杀病毒bohu

2013-05-14 10:33:27

2014-05-14 13:13:59

2015-08-26 15:51:30

免费网络安全体检深信服

2011-09-15 16:51:42

深信服NGAF

2015-02-06 17:00:04

2010-09-27 11:23:53

2009-04-10 09:32:02

点赞
收藏

51CTO技术栈公众号