歡迎光(guāng)臨廣東潮州啓行科技信息有限責任公司官方網站!

齊思達信息科技(jì)

廣東潮州啓行科技信息有限責任公司成為(wèi)值得您信賴的貼心系統集成商

全國(guó)服務熱線:

0757-23819339

新聞動态

了解最新公司動态及行業(yè)資訊

首頁>新聞動态>行業(yè)資訊

返回列表

熱門(mén)關鍵詞: 信息安全    雲計算(suàn)    弱電(diàn)工(gōng)程    機(jī)房建設    IT基礎架構   

突發!incaseformat蠕蟲病毒來襲,警惕文件(jiàn)遭删除

日期:2021-01-13    閱讀(dú)數:1227

今日,深信服安全團隊監測到(dào)一(yī)種名為(wèi)incaseformat的蠕蟲病毒在國(guó)内爆發,該蠕蟲病毒執行後會(huì)自(zì)複制到(dào)系統盤Windows目錄下(xià),并創建注冊表自(zì)啓動,一(yī)旦用戶重啓主機(jī),使得病毒母體從(cóng)Windows目錄執行,病毒進程将會(huì)遍曆除系統盤外的所有磁盤文件(jiàn)進行删除,對用戶造成不可挽回的損失。


目前,已發現國(guó)内多(duō)個(gè)區域不同行業(yè)用戶遭到(dào)感染,病毒傳播範圍暫未見(jiàn)明顯的針對性。

病毒名稱incaseformat

病毒性質蠕蟲病毒

影響範圍:多(duō)省市(shì)多(duō)行業(yè)發現感染案例,有規模爆發趨勢

危害等級:高(gāo)危,可導緻用戶數據丢失

圖片

病毒描述

經分析,該蠕蟲病毒在非Windows目錄下(xià)執行時,并不會(huì)産生(shēng)删除文件(jiàn)行為(wèi),但會(huì)将自(zì)身複制到(dào)系統盤的Windows目錄下(xià),創建RunOnce注冊表值設置開(kāi)機(jī)自(zì)啓,且具有僞裝正常文件(jiàn)夾行為(wèi)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

微信圖片_20210113182640.jpg


當蠕蟲病毒在Windows目錄下(xià)執行時,會(huì)再次在同目錄下(xià)自(zì)複制,并修改如下(xià)注冊表項調整隐藏文件(jiàn)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0


最終遍曆删除系統盤外的所有文件(jiàn),在根目錄留下(xià)名為(wèi)incaseformat.log的空文件(jiàn):

微信圖片_20210113182636.jpg


圖片
解決方案

由于該病毒隻有在Windows目錄下(xià)執行時會(huì)觸發删除文件(jiàn)行為(wèi),重啓會(huì)導緻病毒在Windows目錄下(xià)自(zì)啓動,因此,深信服安全團隊建議廣大用戶在未做好安全防護及病毒查殺工(gōng)作前請勿重啓主機(jī)

1、不要随意下(xià)載安裝未知軟件(jiàn),盡量在官方網站進行下(xià)載安裝;

2、盡量關閉不必要的共享,或設置共享目錄為(wèi)隻讀(dú)模式;深信服EDR用戶可使用微隔離功能(néng)封堵共享端口;

3、嚴格規範U盤等移動介質的使用,使用前先進行查殺;

4、如發現已感染主機(jī),先斷開(kāi)網絡,使用安全産品進行全盤掃描查殺再嘗試使用數據恢複類軟件(jiàn)。深信服為(wèi)廣大用戶提供免費(fèi)查殺工(gōng)具,可下(xià)載如下(xià)工(gōng)具,進行檢測查殺:

64位系統下(xià)載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下(xià)載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

與此同時,深信服安全感知平台、下(xià)一(yī)代防火牆、EDR用戶,建議及時升級最新版本,并接入安全雲腦(nǎo),使用雲查服務以及時檢測防禦新威脅。

微信圖片_20210113182629.jpg

互聯網安全防護的思維模式将從(cóng)傳統的事(shì)件(jiàn)響應式向持續智能(néng)響應式轉變,旨在構建全面的預測、基礎防護、響應和恢複能(néng)力,抵禦不斷演變的高(gāo)級威脅。


  我們齊思達科技(jì)作為(wèi)深信服佛山地區唯一(yī)優選金牌代理商,擁有深信服廠家認證的管家式的客戶經理和專業(yè)的深信服工(gōng)程師(shī)團隊,服務過衆多(duō)企業(yè)的信息安全項目,我們将全程為(wèi)您的企業(yè)信息安全保駕護航

歡迎大家預約信息安全測試和參觀項目案例。

文章來源:深信服科技(jì)



分享到(dào):