行业新闻
incaseformat病毒全面爆发,20S数据被格式化!
上传时间:2021-01-14 浏览次数:2133
事件背景 
 
2021年1月13日,全国各地反馈感染了所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。

 

 
病毒分析

从业界了解到,该病毒最早出现时间为2009年,主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun(业界称为“incaseformat”病毒),从名称可以判断该病毒为Windows平台通过移动介质传播的蠕虫病毒。
病毒文件运行后,首先复制自身到Windows目录下(C:\windows\tsay.exe),文件图标伪装为文件夹。

同时修改注册表键值实现自启动,涉及注册表项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

病毒文件将在计算机启动后 20s 开始删除用户文件。并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件。

此外病毒还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

最后,病毒对非系统分区下所有文件执行删除操作,并创建incaseformat.log文件。

 
感染分析
该病毒会恶意删除用户磁盘文件,加上病毒本身只能通过U盘等移动介质进行传播,并无相关网络传播特征,对用户的计算机数据造成极大威胁。
此次在国内多个行业出现大规模感染事件,猜测可能与相关应用系统的供应链或厂商运维有关,具体传播途径还需做进一步溯源分析。
 
解决方案
可采用世安网络准入控制系统,不仅可以对网络边界进行安全管控,还可以联动主流杀毒软件厂商(例如:江民杀毒、亚信TDA、360杀毒)实现病毒终端的定位,和实时隔离阻断,防止进一步扩散,高效把控网络安全。

 

 
近日,新冠病毒进一步发展,国内病例日益增多,政府积极号召大家做好疫情防范措施。
在此,世安网络准入控制系统紧跟国家脚步,联动主流病毒厂商,进一步做好网络病毒防范工作,保障各地用户网络安全!