【病毒竟然在身边？】Incaseformat蠕虫病毒来袭，应该怎样应对？ – 作者:jordanx

1月13日，incaseformat蠕虫病毒在全国爆发，各大安全厂商相继发布公告霸屏朋友圈，安全产业似乎焕发出了很久不见的活力… 毕竟如此规模并且具备极强传播性强的病毒已经很久没有出现过了。

incaseformat蠕虫

incaseformat并不是新病毒，早在2014年之前就被发现过。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值发生错误，最终导致 DecodeDate 计算转换出的当前系统时间错误。也因为上述原因，该样本作为一个老病毒，直到2021年1月13日才触发删除用户文件的代码逻辑。

具体表现

该蠕虫病毒执行后会复制到系统盘windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

incaseformat的外观非常具有欺骗性，在windows下长得和文件夹一毛一样，并且具有定时删除的逻辑，可以很好的躲过杀毒软件的常规查杀。

incaseformat蠕虫病毒具备超强的传播性，一旦控制一台计算机，就会将其当成宿主，不断自我复制从而感染其他计算机，使得中毒数量呈倍数增长。这实际上就是盘踞在学校内网和打印机店的经典蠕虫病毒，该病毒会在预定的时间内发作然后执行清除文件动作。一旦不小心感染此病毒也不要慌，以下带来一些处置建议。

处置建议

1、数据恢复方案

若已经感染该病毒，请断开网络，并使用杀毒软件进行全盘查杀，尝试使用数据恢复软件对数据进行恢复。

2、安全建议

◆ 若发现带有文件夹图标的EXE文件，除非知道该文件的来源，否则不要打开；

◆ 调整文件夹选项，将“隐藏已知文件的扩展名”选项的对勾去掉，减少被恶意文件夹图标迷惑的风险；

◆ 禁止U盘自动运行，关闭U盘自动播放功能；

◆ 打开系统自动更新，并检测更新进行安装；

◆ 下载程序到官网或正规网站；

◆ 不要点击来源不明的邮件以及附件、链接；

◆ 避免使用弱口令密码，并定期更换密码；

◆ 尽量关闭不必要的端口及网络共享；

◆ 请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

齐安科技

工业控制系统的应用范围多与能源、电力等经济命脉相关，并且工业控制系统内关键工程师站、上位机、数据库中所存储的数据更是对工业控制系统有着重要的价值，一旦被删除，将会导致生产停滞，甚至在各别工业场景中会导致生产安全事故，所以工业企业要做好安全监测和预警工作，在遇到风险时提前感知，早做防护。

齐安科技致力于工业互联网安全监测与防护的深入开拓与创新研究，为用户提供工业互联网系统评估、监测、管控、预警、通报的综合解决方案和安全服务，帮助用户提升安全监测能力与安全管理能力，驱动工业互联网安全智能运转。让工业更安全，让安全更简单！

文章素材来源于网络

如有侵权请联系后台进行删除

来源：freebuf.com 2021-01-18 14:50:32 by: jordanx