股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
【紧急通告】incaseformat蠕虫國(guó)内爆发,当心文(wén)件被删除
发布时间 :2021年01月14日
类型 :勒索软件
分(fēn)享:
安(ān)全通告
incaseformat蠕虫病毒在國(guó)内爆发,由于其会删除系统中(zhōng)的文(wén)件,引起用(yòng)户恐慌。亚信安(ān)全已经截获并分(fēn)析了该病毒,我们发现该病毒早已被加入亚信安(ān)全病毒库,是一只“老牌”文(wén)件夹病毒,通常是通过U盘传播。亚信安(ān)全在此提醒用(yòng)户,请安(ān)装(zhuāng)杀毒软件并保持更新(xīn),随时防范病毒攻击。
病毒详细分(fēn)析
此程序是用(yòng)Delphi编写的,其时间戳為(wèi)2007/3/3。
其会创建一个隐藏的窗口执行,具(jù)有(yǒu)4个定时器。
其在执行时首先将自身拷贝至%windir%/tsay.exe,然后设置自启项。
定时器1
首先枚举磁盘C~Z,当磁盘介质(zhì)為(wèi)可(kě)移动磁盘或硬盘时,将其加入到链表中(zhōng)。
之后从链表中(zhōng)读出满足需求的盘符,枚举其根目录所有(yǒu)文(wén)件夹,将文(wén)件夹隐藏后复制自身為(wèi)文(wén)件夹.exe。
定时器2
获取当前时间,且仅当满足特定时间要求时才开始删除文(wén)件。
定时器3
修改注册表设置,取消显示隐藏文(wén)件与系统文(wén)件等。
定时器4
枚举所有(yǒu)磁盘,并在根目录下创建incaseformat.txt文(wén)件。
亚信安(ān)全产(chǎn)品解决方案
经过测试,亚信安(ān)全病毒码版本15.591.60(2020年1月1日发布)已经可(kě)以检测该病毒,今天的病毒码16.471.60,云病毒码版本16.471.71,全球码版本16.473.00同样支持检测。
数据恢复方案
若已经感染该病毒,请断开网络,并使用(yòng)杀毒软件进行全盘查杀,尝试使用(yòng)数据恢复软件对数据进行恢复。
安(ān)全建议
若发现带有(yǒu)文(wén)件夹图标的EXE文(wén)件,除非知道该文(wén)件的来源,否则不要打开;
调整文(wén)件夹选项,将“隐藏已知文(wén)件的扩展名(míng)”选项的对勾去掉,避免被恶意文(wén)件夹图标迷惑;
禁止U盘自动运行,关闭U盘自动播放;
打开系统自动更新(xīn),并检测更新(xīn)进行安(ān)装(zhuāng);
请到正规网站下载程序;
不要点击来源不明的邮件以及附件,邮件中(zhōng)包含的链接;
采用(yòng)高强度的密码,避免使用(yòng)弱口令密码,并定期更换密码;
尽量关闭不必要的端口及网络共享;
请注意备份重要文(wén)档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用(yòng)两种不同格式保存,并将副本放在异地存储。
IOCs
分(fēn)享到微信
X