发布日期:2021-01-20
一、基本情况
近日,incaseformat蠕虫病毒在国内外大规模爆发,该恶意程序运行后会批量删除磁盘文件,危害重要数据和个人信息安全。
该蠕虫病毒最早发现于2009年,带有恶意删除文件的功能,病毒作者预设2010年4月1日为首次发作日期,但由于函数参数错误,导致2021年1月13日成为了首次发作日期。按照病毒作者设置的程序逻辑,该病毒下一次发作预计将在本月23日。
二、传播方式
样本会自我复制到%SystemRoot%目录下,并重命名"tsay.exe"和"ttry.exe",并且会添加注册表项。
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa,同时会增加自启动,自启动程序指向C:windows say.exe。
同时还会复制自身到除系统分区以外所有分区的根目录下,将分区下已存在的文件夹隐藏,并且以这些文件夹的名称命名。这也是传播扩散的主要方式。
三、建议应对措施
建议校园网用户做好如下防护措施:
1.主机排查建议:排查主机Windows目录下是否存在图标为文件夹的 tsay.exe或ttry.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。
2.病毒查杀建议:由于病毒出现年份较早,主流杀毒软件(安恒EDR、天融信EDR、卡巴斯基、360、火绒、腾讯电脑管家等)均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:
(1)通过任务管理器结束病毒相关进程(ttry.exe)
(2)删除 Windows 目录下驻留文件 tsay.exe 和ttry.exe 及注册表相关启动项(RunOnce)
(3)恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项
3.个人安全防护建议:
修改系统的开机口令为字母、数字、符号组合的8位以上强密码;办公设备不使用U盘等移动存储工具;若必须使用,建议使用前进行U盘查杀;不随意打开共享文件,并通过正规官方渠道下载软件;关闭文件共享目录或者设置共享目录为只读模式。保持系统以及杀毒软件等及时更新。
4.数据恢复建议:
若数据被删除,使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius 等)均可恢复被删除数据。注意避免对被删除文件的分区执行写操作,以免覆盖原有数据。