|
部分用戶反饋電腦下載郵件,或使用U盤復制文件后,除了C盤,DEF盤重要數據全部消失,只留下一個文件名為“incaseformat”的文本文件,本人遇到了,安全衛士也檢測到了,查殺了,不小心系統重啟了,電腦可到干凈了,就剩C盤有內容了,安全衛士查殺木馬后,恢復區恢復文件也不管用了 用戶電腦中毒后,病毒文件通過DeleteFileA和RemoveDirectory代碼實施了刪除文件和目錄的行為。此病毒啟動后將自身復制到C:\WINDOWS\tsay.exe并創建啟動項退出,等待重啟運行,下次開機啟動后約20s就開始刪除用戶文件。 該蠕蟲病毒執行后會自復制到系統盤Windows目錄下,并創建注冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執行,病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。 目前,已發現國內多個區域不同行業用戶遭到感染,病毒傳播范圍暫未見明顯的針對性。 病毒癥狀描述 該蠕蟲病毒在非Windows目錄下執行時,并不會產生刪除文件行為,但會將自身復制到系統盤的Windows目錄下,創建RunOnce注冊表值設置開機自啟,且具有偽裝正常文件夾行為: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 值: C:\windows\tsay.exe 當蠕蟲病毒在Windows目錄下執行時,會再次在同目錄下自復制,并修改如下注冊表項調整隱藏文件: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0 中毒后重啟電腦,最終遍歷刪除系統盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:
系統C盤以外的磁盤消失并生成incaseformat文件。經過排查分析該病毒為蠕蟲病毒,通過U盤(移動存儲設備)傳播。感染后會將系統盤C盤以外的磁盤文件隱藏,并在磁盤文件中生成“incaseformat.txt”文件。用戶重啟電腦之后,會將被隱藏的文件徹底刪除。 注意:請如果已經中病毒用戶,不要重啟電腦,不要重啟電腦,不要重啟電腦。先清理病毒同時將被隱藏的文件拷貝出來,然后再操作重啟電腦。 病毒相關信息如下: 【惡意程序家族】:incaseformat 【關鍵字】:#incaseformat.txt #tsay.exe #ttry.exe 【家族詳情】:病毒類型:蠕蟲 傳播方式: 1. U盤隱藏正常文件夾,并替換為同名樣本母體 行為特征: 1. 先隱藏C盤以外的盤符數據,重啟之后再刪除相關被隱藏文件,釋放文件incaseformat.txt 2. 拷貝副本至C:\windows\ttry.exe、C:\windows\tsay.exe(文件名可能會變化) 3. 注冊表創建啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 處置建議: 1. 使用U盤前使用天擎進行病毒掃描后再使用;也可以通過管控功能禁止不明移動存儲設備進入內網。同時對全網終端進行全盤掃描。 2. 天擎qowl引擎支持檢出,正常情況實時防護、病毒掃描都可以檢出。建議將病毒庫更新到最新。或者將以下MD5+SHA1添加鑒定中心或控制中心黑名單。 3. 如果不慎感染用戶,已經安裝天擎用戶檢查一下信任區,查看是否有被信任的病毒文件,清理信任區之后進行全盤掃描。尚未安裝的天擎的用戶,可以安裝天擎,并對系統進行全盤掃描,并清除病毒。 4、如果感染之后沒有重啟電腦的用戶,清理完病毒之后,先將C盤以外盤符中被隱藏的文件,從磁盤拷貝出來后再重啟電腦。如果已經被重啟的終端,清理完病毒之后嘗試使用第三方數據恢復工具恢復文件; 相關MD5+SHA1(注意該樣本變化較多): 1071d6d497a10cef44db396c07ccde65+71aa3a0af1eda821a1deddf616841c14c3bbd2e3 下面是深信服查殺工具 1、 不要隨意下載安裝未知軟件,盡量在官方網站進行下載安裝; 2、 盡量關閉不必要的共享,或設置共享目錄為只讀模式;深信服EDR用戶可使用微隔離功能封堵共享端口; 3、 嚴格規范U盤等移動介質的使用,使用前先進行查殺; 4、 如發現已感染主機,先斷開網絡,使用安全產品進行全盤掃描查殺再嘗試使用數據恢復類軟件。 該病毒由于病毒作者在編寫過程中,錯誤計算了系統時間,導致其刪除文件的操作直到今天(2021年1月13日)才被觸發,而其下一次被觸發刪除操作的時間則是本月23日。 注意:此病毒并非近期出現的新病毒,由于其偽裝成文件夾的圖標,易造成用戶誤認為是正常文件,從而對殺毒軟件的報警選擇忽略或者信任放行:
如果您的文件不幸已被病毒刪除掉,只能使用數據恢復軟件(安全衛士功能大全;毒霸百寶箱——數據恢復),找回丟失的文件:
病毒樣本
|
|
|
