1月13日,incaseformat蠕虫病毒在全国爆发,各大安全厂商相继发布公告霸屏朋友圈,安全产业似乎焕发出了很久不见的活力… 毕竟如此规模并且具备极强传播性强的病毒已经很久没有出现过了。
incaseformat蠕虫
incaseformat并不是新病毒,早在2014年之前就被发现过。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值发生错误,最终导致 DecodeDate 计算转换出的当前系统时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑。
具体表现
该蠕虫病毒执行后会复制到系统盘windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。
incaseformat的外观非常具有欺骗性,在windows下长得和文件夹一毛一样,并且具有定时删除的逻辑,可以很好的躲过杀毒软件的常规查杀。
incaseformat蠕虫病毒具备超强的传播性,一旦控制一台计算机,就会将其当成宿主,不断自我复制从而感染其他计算机,使得中毒数量呈倍数增长。这实际上就是盘踞在学校内网和打印机店的经典蠕虫病毒,该病毒会在预定的时间内发作然后执行清除文件动作。一旦不小心感染此病毒也不要慌,以下带来一些处置建议。
处置建议
1、数据恢复方案
若已经感染该病毒,请断开网络,并使用杀毒软件进行全盘查杀,尝试使用数据恢复软件对数据进行恢复。
2、安全建议
◆ 若发现带有文件夹图标的EXE文件,除非知道该文件的来源,否则不要打开;
◆ 调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,减少被恶意文件夹图标迷惑的风险;
◆ 禁止U盘自动运行,关闭U盘自动播放功能;
◆ 打开系统自动更新,并检测更新进行安装;
◆ 下载程序到官网或正规网站;
◆ 不要点击来源不明的邮件以及附件、链接;
◆ 避免使用弱口令密码,并定期更换密码;
◆ 尽量关闭不必要的端口及网络共享;
◆ 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
齐安科技
工业控制系统的应用范围多与能源、电力等经济命脉相关,并且工业控制系统内关键工程师站、上位机、数据库中所存储的数据更是对工业控制系统有着重要的价值,一旦被删除,将会导致生产停滞,甚至在各别工业场景中会导致生产安全事故,所以工业企业要做好安全监测和预警工作,在遇到风险时提前感知,早做防护。
齐安科技致力于工业互联网安全监测与防护的深入开拓与创新研究,为用户提供工业互联网系统评估、监测、管控、预警、通报的综合解决方案和安全服务,帮助用户提升安全监测能力与安全管理能力,驱动工业互联网安全智能运转。让工业更安全,让安全更简单!
文章素材来源于网络
如有侵权请联系后台进行删除
来源:freebuf.com 2021-01-18 14:50:32 by: jordanx
请登录后发表评论
注册