incaseformat蠕蟲(chóng)病毒蔓延！

新冠疫情尚未結(jié)束，電腦病毒爆發(fā)而來(lái)！近期，聯(lián)軟科技發(fā)現(xiàn)國(guó)內(nèi)有多省市多行業(yè)用戶(hù)發(fā)生incaseformat的蠕蟲(chóng)病毒，該蠕蟲(chóng)病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤(pán)Windows目錄下，并創(chuàng)建注冊(cè)表自啟動(dòng)，一旦用戶(hù)重啟主機(jī)，使得病毒母體從Windows目錄執(zhí)行，病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤(pán)外的所有磁盤(pán)文件進(jìn)行刪除，對(duì)用戶(hù)造成不可挽回的損失。

目前，已發(fā)現(xiàn)國(guó)內(nèi)多個(gè)區(qū)域不同行業(yè)用戶(hù)遭到感染，病毒傳播范圍暫未見(jiàn)明顯的針對(duì)性。

病毒名稱(chēng)：incaseformat

病毒性質(zhì)：蠕蟲(chóng)病毒

影響范圍：多省市多行業(yè)發(fā)現(xiàn)感染案例，有規(guī)模爆發(fā)趨勢(shì)

危害等級(jí)：高危，可導(dǎo)致用戶(hù)數(shù)據(jù)丟失

一、漏洞情況分析

經(jīng)分析，該蠕蟲(chóng)病毒在非Windows目錄下執(zhí)行時(shí)，并不會(huì)產(chǎn)生刪除文件行為，但會(huì)將自身復(fù)制到系統(tǒng)盤(pán)的Windows目錄下，創(chuàng)建RunOnce注冊(cè)表值設(shè)置開(kāi)機(jī)自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當(dāng)蠕蟲(chóng)病毒在Windows目錄下執(zhí)行時(shí)，會(huì)再次在同目錄下自復(fù)制，并修改如下注冊(cè)表項(xiàng)調(diào)整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統(tǒng)盤(pán)外的所有文件，在根目錄留下名為incaseformat.log的空文件：

二、漏洞修復(fù)方法

由于該病毒只有在Windows目錄下執(zhí)行時(shí)會(huì)觸發(fā)刪除文件行為，重啟會(huì)導(dǎo)致病毒在Windows目錄下自啟動(dòng)，因此，聯(lián)軟科技安全團(tuán)隊(duì)建議廣大用戶(hù)在未做好安全防護(hù)及病毒查殺工作前請(qǐng)勿重啟主機(jī)。

防護(hù)措施：

1、incaseformat病毒是利用U盤(pán)傳播的病毒，已部署聯(lián)軟EPP終端安全管理平臺(tái)的用戶(hù)，可通過(guò)設(shè)定U盤(pán)安全防護(hù)策略，有效防范該病毒的傳播。

●禁止自動(dòng)運(yùn)行?？煞乐挂迅腥镜腢盤(pán)雙擊打開(kāi)時(shí)病毒的啟動(dòng)。

●禁止直接運(yùn)行U盤(pán)內(nèi)的程序?？煞乐共《静捎脗窝b成文件夾的形式誘導(dǎo)終端使用者打開(kāi)。

2、incaseformat病毒是通過(guò)復(fù)制自身到windows目錄下（C:\windows\tsay.exe和C:\windows\ttry.exe），通過(guò)EPP的文件訪問(wèn)控制功能，禁止在windows目錄下的病毒文件進(jìn)行創(chuàng)建、修改、復(fù)制等操作。

3、禁止tsay.exe、ttry.exe進(jìn)程運(yùn)行。

4、注冊(cè)表控制措施

● 監(jiān)測(cè)并禁止創(chuàng)建注冊(cè)表值

●監(jiān)測(cè)如果已經(jīng)存在注冊(cè)表值、刪除處理。

●最終效果如下

其他注意事項(xiàng)：

●不要隨意下載安裝未知軟件，盡量在官方網(wǎng)站進(jìn)行下載安裝。

●嚴(yán)格規(guī)范U盤(pán)等移動(dòng)介質(zhì)的使用，使用前先進(jìn)行查殺。

●盡量關(guān)閉不必要的共享，或設(shè)置共享目錄為只讀模式。

如發(fā)現(xiàn)已感染主機(jī)，先斷開(kāi)網(wǎng)絡(luò)，使用安全產(chǎn)品進(jìn)行全盤(pán)掃描查殺再?lài)L試使用數(shù)據(jù)恢復(fù)類(lèi)軟件。您也可以聯(lián)系我們提供專(zhuān)業(yè)的現(xiàn)場(chǎng)服務(wù)和文件恢復(fù)工具。

三、咨詢(xún)與服務(wù)

您可以通過(guò)以下方式聯(lián)系我們，獲取關(guān)于incaseformat的免費(fèi)咨詢(xún)及支持服務(wù)：

1）撥打電話(huà)400-6288-116專(zhuān)線(xiàn)

2）關(guān)注【聯(lián)軟科技】微信公眾號(hào)，選擇“獲取服務(wù)”-“聯(lián)系客服”，進(jìn)行咨詢(xún)。