incaseformat蠕虫病毒爆发，深信服免费提供查杀工具-网络安全专区

incaseformat蠕虫病毒爆发，深信服免费提供查杀工具

作者：厂商动态编辑：高博 2021-01-14 15:45 IT168网站原创

　　近日，深信服安全团队监测到一种名为incaseformat的病毒，全国各个区域都出现了被incaseformat病毒删除文件的用户。

　　经调查，该蠕虫正常情况下表现为文件夹蠕虫，执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。该病毒于1月13日集中爆发是由于病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，爆发该蠕虫事件的用户感染时间应该早于1月13号，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2月4日。为此深信服免费提供了查杀工具incaseformat病毒帮助广大用户检测查杀incaseformat。

　　据了解，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　值: C:\windows\tsay.exe

　　当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

　　最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件。

　　情况看似简单，但令人不解的是，该蠕虫是通过什么方式进行传播的呢？又为何会集中爆发？

　　经过深信服安全专家对病毒文件和威胁情报的详细分析，有了新的发现。该蠕虫病毒由Delphi语言编写，最早出现于2009年，此后每年都有用户在网络上发帖求助该病毒的解决方案解决方案。

　　正常情况下，该病毒表现为一种文件夹蠕虫，和其他文件夹蠕虫病毒一样，通过文件共享或移动设备进行传播，并会在共享目录或移动设备路径下将正常的文件夹隐藏，自己则伪装成文件夹的样子。

　　然而，与其他文件夹蠕虫不同的是，incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”，蠕虫会获取受感染主机的当前时间，获取到时间后，程序与指定的时间进行了比对，当条件为：

　　年份>2009，月份>3，日期=1 或日期=10 或日期=21 或日期=29

　　即2009年后，每个大于3月的1号、10号、21号和29号时会触发删除文件操作。

　　然后通过DecodeDate函数拆分日期，奇妙的是，该程序中的Delphi库可能出现了错误，DateTimeToTimeStamp用于计算的一个变量发生异常：

　　导致转换后的时间与真实的主机时间并不相符，因此真实触发时间与程序设定条件不相同（原本2010年愚人节的启动时间，错误转换成了2021年1月13日，本次病毒爆发可能是迟到的愚人节玩笑）：

　　分析人员计算随后会触发删除文件操作的日期为，2021年1月23和2月4号：

　　由于文件夹蠕虫感染后没有给主机带来明显的损失，大多数用户都会疏于防范，且文件蠕虫主要通过文件共享和移动设备传播，一旦感染后容易快速蔓延内网，很多此次爆发现象的主机可能在很早前就已经感染。还有一些主机已经潜伏该病毒用户很可能会在2021年1月23和2月4号被删除数据。

　　对此，深信服安全团队也针对该蠕虫病毒向广大用户提出防范建议：

　　若主机未出现感染现象（其他磁盘文件还未被删除）：

　　1、不随意重启主机，先使用安全软件进行全盘查杀，并开启实时监控等防护功能；

　　2、不随意下载安装未知软件，尽量在官方网站进行下载安装；

　　3、尽量关闭不必要的共享，或设置共享目录为只读模式；深信服安全团队提到深信服EDR用户可使直接用微隔离功能封堵共享端口；

　　4、严格规范U盘等移动介质的使用，使用前先进行查杀；

　　5、重要数据做好备份；

　　若主机已出现感染现象（其他磁盘文件已被删除）则：

　　1、使用安全软件进行全盘查杀，清除病毒残留；

　　2、可尝试使用数据恢复类工具进行恢复，恢复前尽量不要占用被删文件磁盘的空间，由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据，可能仍有一定几率进行恢复；

　　深信服也为广大用户提供免费查杀工具，可下载如下工具，进行检测查杀：

　　64位系统下载链接：

　　http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

　　32位系统下载链接：

　　http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

　　与此同时，深信服安全感知平台、下一代防火墙、EDR用户，建议及时升级最新版本，并接入安全云脑，使用云查服务以及时检测防御新威胁。

　　最后，也再次提醒广大用户，安全无小事，一定要做好重要数据备份。针对目前还未部署备份方案的用户，深信服企业级备份一体机可以帮助用户防患于未然，守好数据安全的“最后一道防线”！

特别提醒：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

关注我们