1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。
近日,沉睡多年的incaseformat蠕虫病毒近日在国内爆发,涉及政府、医疗、教育、运营商等多个行业,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将非系统分区文件均被删除,对用户造成不可挽回的损失。
incaseformat病毒起源
incaseformat至少是2014年之前的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值发生错误,最终导致 DecodeDate 计算转换出的当前系统时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑。
二、传播途径
该病毒传播的主要途径是U盘、Winbdows共享、邮件等,你以为电脑安装杀毒软件就够了?No!incaseformat比常见的蠕虫病毒要聪明,它会伪装成文件夹图标,且具有定时删除文件的逻辑。甚至,它能将自己放进杀毒软件的信任区,顺利躲过杀毒软件的拦截后,一旦满足设定时间,就开始隐藏C盘外的其他磁盘文件,并对应生成文件夹图标的exe文件,这时候很多文件已经没了。
incaseformat蠕虫病毒具备超强的传播性,一旦控制一台计算机,就会将其当成宿主,不断自我复制从而感染其他计算机,使得中毒数量呈倍数增长!因为会伪装成其他文件,所以能躲过安全软件的查杀,学校、打印店、企业都是蠕虫病毒的重灾区。
当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt-> 0x1 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue-> 0x0
最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件。
由于文件夹蠕虫感染后没有给主机带来明显的损失,大多数用户都会疏于防范,且文件蠕虫主要通过文件共享和移动设备传播,一旦感染后容易快速蔓延内网,很多此次爆发现象的主机可能在很早前就已经感染。
三、数据安全
针对该蠕虫病毒向广大用户提出防范建议,广大用户在未做好安全防护及病毒查杀工作前请勿重启主机:
若主机未出现感染(其他磁盘文件未被删除):
1.、不要随意下载安装未知软件,尽量在官方网站进行下载安装;
2、关闭不必要的端口及网络共享;
3.、禁止U盘自动运行,关闭U盘自动播放,使用前先进行查杀;
4.、不要点击来源不明的邮件以及附件,邮件中包含的链接
5、重要数据做好备份;
若主机出现感染现象(其他磁盘文件已被删除):
1、先断开网络,使用终端杀毒软件进行全盘扫描查杀,清除病毒残留
2、可尝试使用数据恢复类工具进行恢复。
