警惕！你的文件会消失 – 作者:联软科技leagsoft

incaseformat蠕虫病毒蔓延！

新冠疫情尚未结束，电脑病毒爆发而来！近期，联软科技发现国内有多省市多行业用户发生incaseformat的蠕虫病毒，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

病毒名称：incaseformat

病毒性质：蠕虫病毒

影响范围：多省市多行业发现感染案例，有规模爆发趋势

危害等级：高危，可导致用户数据丢失

一、漏洞情况分析

经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

二、漏洞修复方法

由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，联软科技安全团队建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机。

防护措施：

1、incaseformat病毒是利用U盘传播的病毒，已部署联软EPP终端安全管理平台的用户，可通过设定U盘安全防护策略，有效防范该病毒的传播。

●禁止自动运行。可防止已感染的U盘双击打开时病毒的启动。

●禁止直接运行U盘内的程序。可防止病毒采用伪装成文件夹的形式诱导终端使用者打开。

2、incaseformat病毒是通过复制自身到windows目录下（C:\windows\tsay.exe和C:\windows\ttry.exe），通过EPP的文件访问控制功能，禁止在windows目录下的病毒文件进行创建、修改、复制等操作。

3、禁止tsay.exe、ttry.exe进程运行。

4、注册表控制措施

● 监测并禁止创建注册表值

●监测如果已经存在注册表值、删除处理。

●最终效果如下

其他注意事项：

●不要随意下载安装未知软件，尽量在官方网站进行下载安装。

●严格规范U盘等移动介质的使用，使用前先进行查杀。

●尽量关闭不必要的共享，或设置共享目录为只读模式。

如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。您也可以联系我们提供专业的现场服务和文件恢复工具。

三、咨询与服务

您可以通过以下方式联系我们，获取关于incaseformat的免费咨询及支持服务：

1）拨打电话400-6288-116专线

2）关注【联软科技】微信公众号，选择“获取服务”-“联系客服”，进行咨询。

来源：freebuf.com 2021-01-25 10:53:55 by: 联软科技leagsoft