55世纪

55世纪- 首页
行业新闻
incaseformat病毒周全爆发,20S数据被名堂化!
上传时间:2021-01-14 浏览次数:1770
事务配景 
 
2021年1月13日,天下各地反响熏染了所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且熏染主机多为财务治理相关应用系统 。熏染主机体现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均保存名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat 。

 

55世纪- 首页 
病毒剖析

从业界相识到,该病毒最早泛起时间为2009年,主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun(业界称为“incaseformat”病毒),从名称可以判断该病毒为Windows平台通过移动介质撒播的蠕虫病毒 。
病毒文件运行后,首先复制自身到Windows目录下(C:\windows\tsay.exe),文件图标伪装为文件夹 。

55世纪- 首页

同时修改注册表键值实现自启动,涉及注册表项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

55世纪- 首页

病毒文件将在盘算机启动后 20s 最先删除用户文件 。并最先遍历所有非系统分区下目录并设置为隐藏,同时建设同名的病毒文件 。

55世纪- 首页

别的病毒还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

55世纪- 首页

最后,病毒对非系统分区下所有文件执行删除操作,并建设incaseformat.log文件 。

55世纪- 首页

 
熏染剖析
该病毒会恶意删除用户磁盘文件,加上病毒自己只能通过U盘等移动介质举行撒播,并无相关网络撒播特征,对用户的盘算机数据造成极大威胁 。
此次在海内多个行业泛起大规模熏染事务,推测可能与相关应用系统的供应链或厂商运维有关,详细撒播途径还需做进一步溯源剖析 。
 
解决计划
可接纳55世纪网络准入控制系统,不但可以对网络界线举行清静管控,还可以联动主流杀毒软件厂商(例如:江民杀毒、亚信TDA、360杀毒)实现病毒终端的定位,和实时隔离阻断,避免进一步扩散,高效把控网络清静 。

55世纪- 首页
 

 
克日,新冠病毒进一步生长,海内病例日益增多,政府起劲招呼各人做好疫情提防步伐 。
在此,55世纪网络准入控制系统紧跟国家脚步,联动主流病毒厂商,进一步做好网络病毒提防事情,包管各地用户网络清静!

【网站地图】【sitemap】