incaseformat蠕虫病毒

病毒说明：

国内多个区域行业出现且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除，由于被删除文件分区根目录下均存在名为incaseformat.log的空文件，因此网络上将此病毒命名为incaseformat。

病毒分析：

该病毒最早出现时间为 2009 年，主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun，从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。病毒文件运行后，首先复制自身到 Windows 目录下（C:\windows\tsay.exe），文件图标伪装为文件夹。

同时修改注册表键值实现自启动，涉及注册表项为： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

病毒文件将在主机重启后运行，并开始遍历所有非系统分区下目录并设置为隐藏，同时创建同名的病毒文件。

此外还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hid den\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hid eFileExt\checkedvalue

最后对非系统分区下所有文件执行删除操作，并创建 incaseformat.log 文件。

该病毒由于编写时对某时间判断变量赋值错误，导致在今天（2021 年 1 月 13 日）才触发并执行删除文件的代码逻辑，实际该病毒可能被感染主机上驻留多年，但由于缺少主机防病毒软件或白名单设置错误等原因，一直未能被发现。由于病毒本身只能通过 U 盘等移动介质进行传播，并无相关网络传播特征，此次在国内多个行业出现大规模感染事件，猜测可能与相关应用系统的供应链或厂商运维有关，如：软件分发、更新升级、远程运维等，具体传播途径还需做进一步溯源分析。

处理建议：

1、主机排查排查主机 Windows 目录下是否存在图标为文件夹的 tsay.exe 文件，若存在该文件，及时删除即可，删除前切勿对主机执行重启操作。

2、数据恢复切勿对被删除文件的分区执行写操作，以免覆盖原有数据，然后使用常见的数据恢复软件（如：Finaldata、recuva、DiskGenius 等）即可恢复被删除数据。

3、病毒清理由于病毒出现年份较早，主流杀毒软件均可对该病毒进行查杀，用户也可通过以下手工方式进行清理修复： 1)通过任务管理器结束病毒相关进程（ttry.exe）

2)删除 Windows 目录下驻留文件 tsay.exe 和 ttry.exe 及注册表相关启动项（RunOnce）3)恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项。

附录：

清理脚本：新建txt文本把代码复制进去然后后缀名改为.bat，双击运行既可

@echo offtaskkill /f /im tsay.exe
taskkill /f /im ttry.exe@reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v "Hidden" /t REG_DWORD /d 1 /f@reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v "HideFileExt" /t REG_DWORD /d 0 /f@reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v "checkedvalue" /t REG_DWORD /d 1 /f@reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\ /v "checkedvalue" /t REG_DWORD /d 1 /f@REG DELETE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ /v "msfsa" /fdel /f /q C:\windows\tsay.exe
del /f /q C:\windows\ttry.exe@For /F "Skip=1" %%i in ('Wmic Logicaldisk Where "DriveType=3" Get Name') Do del /f /q %%i\incaseformat.log

incaseformat蠕虫病毒相关推荐

安全：incaseformat蠕虫病毒来袭，你中招了吗？
2021年1月13日incaseformat蠕虫病毒的消息刷爆了微信朋友圈,该病毒不具备对加密文件危害,同时该病毒也并非新型的病毒,而是2014年已经出现了,病毒主要传播方式为U盘等移动存储器设备,不 ...
【安全资讯】incaseformat蠕虫病毒大爆发！20s删除用户文件
作者|潇冷来源|比特网发布时间|2021-01-21 1 月 13 日晚,360.深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被 ...
incaseformat蠕虫病毒的预防措施及应对措施
2021年才开始的第一个月,病毒感染事件再起.昨天开始,很多用户开机后发现多数电脑除C盘外,全部格式化了,所有文件夹都被隐藏,只留下一个incaseformat.txt文件.这是incaseforma ...
如何使用计算机蠕虫病毒软件,incaseformat蠕虫病毒是什么？电脑若中病毒后如何修复。...
原标题:incaseformat蠕虫病毒是什么?电脑若中病毒后如何修复. 昨天开始国内各家安全大厂都发出预警提醒电脑用户"incaseformat"蠕虫病毒已再度开始发作什 ...
服务器system文件缺失,incaseformat蠕虫病毒爆发，警惕文件丢失！
又一波电脑病毒来袭! 一种名为incaseformat的蠕虫病毒在国内爆发, 该蠕虫病毒主要通过U盘感染传播,运行后会检测自身执行路径,复制到系统盘Windows目录下,并将其他磁盘的文件进行遍历删除 ...
incaseformat蠕虫病毒爆发，深信达助力安全防护
根据最新公布的消息,大量用户计算机感染一种名为incasefrmat的计算机蠕虫病毒,该病毒会自动复制到windows目录中并添加注册表,使计算机在重新启动时自动运行该程序,将自动遍历所有盘符并删除除 ...
大家注意咯!incaseformat蠕虫病毒爆发
大家注意咯现在incaseformat蠕虫病毒很厉害,大家不要轻易在网上下载不明软件,更不能浏览和下载不健康的内容,这时候还依然进一些不健康的网站下载或浏览,那就是等于往"枪口" ...
IP-guard助力防御incaseformat蠕虫病毒
近日incaseformat蠕虫病毒在全国的爆发,引起了不少人的关注,计算机中招incaseformat蠕虫病毒后,除系统C盘以外其他文件会全部被删除,造成大量重要文档丢失,给用户造成不可挽回的损失. ...
Incaseformat 蠕虫病毒威胁通告
报告编号:B6-2021-011401 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-14 0x01事件简述 2021年01月13日,360安全卫士发布了Incasef ...
incaseformat蠕虫病毒昨日“发作“，23日可能还会发作
一. 事件背景近日,微步在线收到国内多家客户反馈办公设备被名为incaseformat蠕虫病毒感染,受害者机器中除了系统盘以外,其他文件全部被删除. incaseformat蠕虫病毒发现至今已有十 ...

incaseformat蠕虫病毒

incaseformat蠕虫病毒相关推荐

最新文章

热门文章