发布者：tangkuikui      发布时间：2021/1/15      点击数：2768

近日，一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。遇到这个病毒，蓝盟IT外包强烈建议“千万不要重启！”重启后数据会丢失，中招了没有重启的可以在隐藏文件中把数据先拷贝出来。在被清空的X盘未重新写入存入数据情况下，可以通过数据软件恢复回来，但是传播方式应该不仅仅是U盘。

该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件。

总结如下：

1、安全软件基本能够查杀出来；

2、会在C:\windows\释放样本；

3、被删除的文件在病毒执行后未进行重启基本都能恢复；

4、如执行了被感染的文件夹.exe也会造成主机数据被删除情况；

5、目前客户大多数杀毒软件查杀不出的原因是因为未开启隐藏后缀，当客户打开文件夹.exe时认为是普通文件夹，杀毒软件报毒，客户认为是误报所以将其添加到信任表中导致。

由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，蓝盟IT外包建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机。

应严格注意以下几点：

1、 不要随意下载安装未知软件，尽量在官方网站进行下载安装；

2、 尽量关闭不必要的共享，或设置共享目录为只读模式；深信服EDR用户可使用微隔离功能封堵共享端口；

3、 严格规范U盘等移动介质的使用，使用前先进行查杀；

4、 如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

以下为深信服的免费查杀工具：

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

备用链接：

32位查杀工具：

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X86.7z

64位查杀工具：

http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X64.7z

如需对网络安全服务及病毒防范有进一步的了解请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟   IT外包专家