突发!incaseformat蠕虫病毒来袭,小心文件遭删除
ai.com/upload/2021/1/Mfmmu2.png" class="aligncenter">
今日,深信服平安团队监测到一种名为incaseformat的蠕虫病毒在海内发作, 该蠕虫病毒执行后会自复制到系统盘Windows目录下,并建立注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒历程将会遍历除系统盘外的所有磁盘文件举行删除,对用户造成不能挽回的损失。
现在,已发现海内多个区域差别行业用户遭到熏染,病毒流传局限暂未见显著的针对性。
病毒名称:incaseformat
病毒性子:蠕虫病毒
影响局限:多省市多行业发现熏染案例,有规模发作趋势
危害品级:高危,可导致用户数据丢失
ai.com/upload/2021/1/3yMZVn.png" class="aligncenter">
病毒形貌
经剖析,该蠕虫病毒在非Windows目录下执行时,并不会发生删除文件行为,但会将自身复制到系统盘的Windows目录下,建立RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
ai.com/upload/2021/1/QfmARr.png" class="aligncenter">
当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:
ai.com/upload/2021/1/AJvANr.png" class="aligncenter">
,科技是智慧的体验,人文科技、未来科技带您走进新时代的步伐,
秀羞科技频道为大家提供科技全方面的报道和资讯服务。
ai.com/upload/2021/1/Jbmyqe.png" class="aligncenter">
解决方案
由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,深信服平安团队建议宽大用户在未做好平安防护及病毒查杀事情前 请勿重启主机:
1、 不要随意下载安装未知软件,只管在官方网站举行下载安装;
2、只管关闭不必要的共享,或设置共享目录为只读模式;深信服EDR用户可使用微隔离功效封堵共享端口;
3、 严酷规范U盘等移动介质的使用,使用前先举行查杀;
4、 如发现已熏染主机,先断开网络,使用平安产品举行通盘扫描查杀再实验使用数据恢复类软件。 深信服为宽大用户提供免费查杀工具,可下载如下工具,举行检测查杀:
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
与此同时,深信服平安感知平台、下一代防火墙、EDR用户,建议实时升级最新版本,并接入平安云脑,使用云查服务以实时检测防御新威胁。
ai.com/upload/2021/1/Q3mMbu.png" class="aligncenter">
咨询与服务
您可以通过以下方式联系我们,获取关于 incaseformat的免费咨询及支持服务:
2)关注 【深信服技术服务】微信民众号,选择“智能服务”菜单,举行咨询
3)PC端接见深信服区
ai.com/upload/2021/1/VvAfmy.gif" class="aligncenter">返回搜狐,查看更多
责任编辑:
路网数字化,真香!
路网数字化服务,面向高速、城市、园区等交通场景,联接多种路侧传感器,通过智能边缘V2X Edge和车路协同平台V2X Server,提供云边协同的道路感知服务,实现人、车、路、云之间的数字化信息交互…
