夜夜澡人摸人人添人人看_警惕！你的文件會(huì )消失





中 | EN

                    首頁(yè) >>
                    關(guān)于我們 >>
                    新聞動(dòng)態(tài)
                

警惕！你的文件會(huì )消失

聯(lián)軟科技

2022年11月06日

incaseformat蠕蟲(chóng)病毒蔓延！

新冠疫情尚未結束，電腦病毒爆發(fā)而來(lái)！近期，聯(lián)軟科技發(fā)現國內有多省市多行業(yè)用戶(hù)發(fā)生incaseformat的蠕蟲(chóng)病毒，該蠕蟲(chóng)病毒執行后會(huì )自復制到系統盤(pán)Windows目錄下，并創(chuàng )建注冊表自啟動(dòng)，一旦用戶(hù)重啟主機，使得病毒母體從Windows目錄執行，病毒進(jìn)程將會(huì )遍歷除系統盤(pán)外的所有磁盤(pán)文件進(jìn)行刪除，對用戶(hù)造成不可挽回的損失。

目前，已發(fā)現國內多個(gè)區域不同行業(yè)用戶(hù)遭到感染，病毒傳播范圍暫未見(jiàn)明顯的針對性。

病毒名稱(chēng)：incaseformat

病毒性質(zhì)：蠕蟲(chóng)病毒

影響范圍：多省市多行業(yè)發(fā)現感染案例，有規模爆發(fā)趨勢

危害等級：高危，可導致用戶(hù)數據丟失

一、漏洞情況分析

經(jīng)分析，該蠕蟲(chóng)病毒在非Windows目錄下執行時(shí)，并不會(huì )產(chǎn)生刪除文件行為，但會(huì )將自身復制到系統盤(pán)的Windows目錄下，創(chuàng )建RunOnce注冊表值設置開(kāi)機自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當蠕蟲(chóng)病毒在Windows目錄下執行時(shí)，會(huì )再次在同目錄下自復制，并修改如下注冊表項調整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統盤(pán)外的所有文件，在根目錄留下名為incaseformat.log的空文件：

二、漏洞修復方法

由于該病毒只有在Windows目錄下執行時(shí)會(huì )觸發(fā)刪除文件行為，重啟會(huì )導致病毒在Windows目錄下自啟動(dòng)，因此，聯(lián)軟科技安全團隊建議廣大用戶(hù)在未做好安全防護及病毒查殺工作前請勿重啟主機。

防護措施：

1、incaseformat病毒是利用U盤(pán)傳播的病毒，已部署聯(lián)軟EPP終端安全管理平臺的用戶(hù)，可通過(guò)設定U盤(pán)安全防護策略，有效防范該病毒的傳播。

●禁止自動(dòng)運行?？煞乐挂迅腥镜腢盤(pán)雙擊打開(kāi)時(shí)病毒的啟動(dòng)。

●禁止直接運行U盤(pán)內的程序?？煞乐共《静捎脗窝b成文件夾的形式誘導終端使用者打開(kāi)。

2、incaseformat病毒是通過(guò)復制自身到windows目錄下（C:\windows\tsay.exe和C:\windows\ttry.exe），通過(guò)EPP的文件訪(fǎng)問(wèn)控制功能，禁止在windows目錄下的病毒文件進(jìn)行創(chuàng )建、修改、復制等操作。