老梁(蛤蟆哥)運維技術(shù)發(fā)表于:

安全提醒:火絨完整版+數(shù)據(jù)恢復(fù)軟件應(yīng)對2021年1月13日incaseformat蠕蟲病毒

[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

這兩天朋友圈一直在傳播incaseformat蠕蟲病毒,其實這病毒就是很久以前的蠕蟲病毒,搞的大家都人心惶惶的,有的財務(wù)數(shù)據(jù)都已經(jīng)丟失等等,其實消滅也很簡單,具體往下看;

“incaseformat”蠕蟲病毒刪除文件?不要慌,X訊iOA、御點、管家都能殺,文件也能恢復(fù)?有網(wǎng)友反應(yīng)遭遇“incaseformat”病毒攻擊,硬盤除?C?盤外,其他分區(qū)文件被刪除,僅保留?一個名為“incaseformat.log”的?0?字節(jié)文件。X訊安全專家分析后發(fā)現(xiàn),這是一個很古老的?蠕蟲病毒。X訊?iOA、X訊御點、X訊電腦管家均可查殺。即使病毒已產(chǎn)生破壞,被刪除的文?件恢復(fù)的概率也較高。

該病毒在非?Windows?目錄下運行時,并不會刪除文件,但會修改注冊表啟動項,實現(xiàn)開機自?啟動,拷貝自身到?windows目錄下(C:\Windows\tsay.exeC:\Windows\ttry.exe),同時設(shè)?置注冊表?runonce的?msfsa?項。

當病毒在?windows?目錄下(C:\Windows\tsay.exe、C:\Windows\ttry.exe)運行時,會修改注?冊表不顯示隱藏屬性的文件,最后會遍歷磁盤,刪除所有除系統(tǒng)盤之外的文件,只在硬盤根目?錄留下名為?incaseformat.log的空文件。

X訊安全專家表示,因該病毒采用文件夾的圖標,會使一部分用戶誤認為是正常軟件,而將殺毒軟件的防護功能關(guān)閉,或者將病毒添加到信任白名單里,最終在這些用戶的系統(tǒng)上會造成病?毒發(fā)作文件被刪除。?由于病毒代碼設(shè)置變量值的錯誤,導致病毒計算當前系統(tǒng)時間出錯,因而在?2021?年?1?月?13日觸發(fā)刪除文件等操作(下一次發(fā)作是?1?月?23?。之所以用戶電腦的安全軟件未作出響應(yīng),可能是用戶錯誤地將病毒文件添加為信任白名單所致。?X訊安全建議用戶勿輕易判定安全軟件的警告為誤報,勿輕易將可疑文件添加到信任白名單,?可避免受害。如果已有用戶不幸中招,可以在清除病毒之后,使用文件恢復(fù)工具將被刪除的文?件還原,只要用戶未做較多的文件覆蓋操作,恢復(fù)成功的概率較大SSD硬盤以及M2硬盤例外,因存儲機?制不同,刪除后難以恢復(fù)。)

IOCs?MD5(部分同源樣本)
ef5b7e56bfb0fa8106ed34d03fac1c54
8c2684749c3fb167f461fd232949a19d
a4063fdcca320255b6cbf346b136729f
bd3ec766a3e9b06de1fc5814c683631b
d7bfa872efe8abf74ea9bbe0cd4602a8d
223e83d01acbf7681d7e8f88f03151b
bb7b42ad834ad913d940d07ccb07acbb
a1b1cfa4cb764163967c33e297e61bc3
b47a2e878a90fc69edeb291c601e4016
93bd1f3cbe0e17705b7e871aa277e3cb
08b23af62b33dadff2f3e83ce1281127
bc538c071683816ae9f37aff51d615a0
5a072207501195802968ff7c79e6a69
7c82fe43617d43fb2f8b77bfa480571b
9f3bcbd38ee225690ed613d518c101f9
4b9b17a4c93e31ba7ef7eeaa930e5caf
3a27dc421e70d4b5b054d7e1e3ff2335

安全提醒:

1、若未被感染也需要進行全盤查殺確保安全!因為病毒還會在1月23日重新發(fā)起刪除操作?。?!

2、若已經(jīng)被感染,切勿重啟!切勿重啟!切勿重啟!請在清除信任區(qū),全盤查殺后,在不關(guān)機重啟的情況下使用數(shù)據(jù)恢復(fù)軟件恢復(fù)數(shù)據(jù),或聯(lián)系專業(yè)的數(shù)據(jù)恢復(fù)服務(wù)人員操作;

3、此后若遇到安全軟件頻繁報毒的情況,很大概率就是感染了蠕蟲病毒,應(yīng)第一時間咨詢安全廠商,不要輕易對其進行信任!!

軟件:
【查殺軟件】火絨安全軟件5.0離線完整版+數(shù)據(jù)恢復(fù)軟件 EaseUSDataRecoveryWizard
===以下為火絨安全論壇原帖===
今日,火絨工程師接到大量用戶求助,稱電腦中除C盤之外的其他文件都被刪除,且磁盤中可能被創(chuàng)建“incaseformat”文本文檔。經(jīng)火絨工程師查看現(xiàn)場后發(fā)現(xiàn),是用戶電腦感染了帶有“定時器”邏輯的蠕蟲病毒?;鸾q用戶無需擔心,火絨安全軟件(個人版、企業(yè)版)無需升級即可對該病毒進行攔截并查殺。
?
? ?? ? 火絨工程師分析發(fā)現(xiàn),此次的病毒與常見的蠕蟲病毒不同,除了具有偽裝文件夾圖標,隱藏原始文件夾的危害以外,還設(shè)置了定時刪除文件的邏輯。一旦滿足設(shè)定的時間,將會刪除用戶電腦中除C盤之外的其他盤符的所有文件,并且可能在磁盤根目錄創(chuàng)建“incaseformat.txt”文本文檔。此次有大量用戶被刪文件的原因,是因為這些用戶對該病毒進行了信任,或者根本沒有安裝安全軟件。很可能該病毒已經(jīng)在用戶電腦中潛伏多年。
?
?
? ?? ? 不僅如此,該病毒設(shè)定的刪除日期不止今天(1月13日),距離最近的下一次刪除時間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的危害。我們建議廣大用戶及時使用火絨安全軟件全盤掃描(清空信任區(qū))進行排查。對于未安裝火絨已經(jīng)中毒的用戶,建議清空信任區(qū)后進行全盤掃描查殺。
?
? ?? ? 事實上,該蠕蟲病毒早在2014年就已經(jīng)被火絨入庫。因為該病毒所使用的delphi庫中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯誤,最終導致 DecodeDate 計算轉(zhuǎn)換出的系統(tǒng)當前時間錯誤。也因為上述原因,該樣本作為一個老病毒。直到2021年1月13日才觸發(fā)刪除用戶文件的代碼邏輯。


2014年火絨對該樣本的收錄和檢測

?

判斷系統(tǒng)時間執(zhí)行全盤文件刪除相關(guān)代碼
?
病毒所使用的有問題的 DateTimeToTimeStamp 相關(guān)代碼
?
病毒傳播相關(guān)代碼
?
? ?? ? 蠕蟲病毒因其會偽裝成其他文件、不斷復(fù)制自身的特性,具有非常強的傳播性。即便被安全軟件查殺,也經(jīng)常會被用戶錯當成“誤殺”,進行信任處理。也因此,蠕蟲病毒在企業(yè)內(nèi)網(wǎng)中的活躍度一直居高不下。學校、打印店等也是蠕蟲病毒的重災(zāi)區(qū)?;鸾q工程師再次提醒廣大用戶,若遇到安全軟件頻繁報毒的情況,很大概率就是感染了蠕蟲病毒,應(yīng)第一時間咨詢安全廠商,不要輕易對其進行信任。
?
附錄:
寫在最后:
現(xiàn)在不要以為SSD,M2硬盤速度快,就想用快的,保存數(shù)據(jù),還得是機械硬盤,有重要數(shù)據(jù)的,要么備份云盤,要么就直接機械硬盤,切記不可使用SSD或者M2硬盤;

問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責聲明,若由于商用引起版權(quán)糾紛,一切責任均由使用者承擔。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責聲明》全部內(nèi)容的認可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學習和交流,請勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請諒解! 侵權(quán)刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學習,歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉(zhuǎn)載請注明出處: » 安全提醒:火絨完整版+數(shù)據(jù)恢復(fù)軟件應(yīng)對2021年1月13日incaseformat蠕蟲病毒

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護;網(wǎng)站開發(fā)修改及維護; 各財務(wù)軟件安裝調(diào)試及注冊服務(wù)(金蝶,用友,管家婆,速達,星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情