1月13日,一款“古老”的网络蠕虫病毒Incaseformat引发了全国范围内多起磁盘数据被格式化,造成了数据大量丢失。网御星云专家团队第一时间进行专项分析,在准确掌握情况之后,同步推出了应急处置方案。
重点信息
病毒名称:
incaseformat、Worm.Win32.Autorun
传播途径:移动介质
危害程度:非系统分区数据删除
触发条件:随电脑开机启动
威胁预测:23日会再次爆发
处置方案:进程抑制、文件删除
威胁 “缘由”
该病毒最早的出现时间约在2009年,由于病毒编码中时间换算错误,导致了该病毒潜藏到10余年后才触发后续行为,错误的执行了删除文件的操作,即:
1.进行自复制(C:\windows\tsay.exe、C:\Windows\ttry.exe)
2.设置注册表自启动(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)
3.隐藏受保护的文件
4.触发执行后续的文件删除动作
防护 建议
1.建议检查并确保共享目录处于关闭状态、主机防火墙处于开启状态,提前防患
2.病毒主要是通过U盘传播,建议暂停使用U 盘等移动存储工具
3.不打开未知文件、不点击未知链接
4.威胁清除前不要重启电脑
5.已中招的电脑,待专杀完成后,建议请专业团队恢复数据
网御星云处置 方案
未安装网御EDR用户
1.排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件
2.排查并删除注册表“msfsa”项
32位系统:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
64位系统:
“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”
已安装网御EDR用户
1.开启关键路径信息变动采集并添加威胁路径信息,持续监控预警
2.开启注册表信息变动采集并添加威胁路径监控信息,持续监控预警
3.添加进程黑名单,抑制病毒运行
4.推送响应脚本,全网清除病毒威胁
5.回溯威胁入口,为后续安全整改提供支撑
网御终端高级威胁检测与响应系统(简称网御EDR),发现、分析、处置安全威胁的同时提供完善的可视化回溯能力,协助管理人员定位威胁源头。
温馨提示
“关于incaseformat清除脚本”获取方式,请联系:
1.网御星云当地商务、技术人员
2.拨打网御星云热线400-810-7766
网御星云公司将持续关注此病毒后续动态并及时提供解决方案,敬请期待!
(转载自科技狗)
