0871-63391719
收缩
  • 售前咨询
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 网站备案
  • 点击这里给我发消息
  • 技术支持
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 进机房维护办理电话
  • 18908891837
  • 技术支持服务电话
  • 18908891838
  • 15096674079
  • 关注微信

风险提示丨incaseformat病毒来袭,内附应急方案

日期:2021/1/14 9:37:42    来源:本站    作者:昆明英奈特
图标浏览量:

风险提示丨incaseformat病毒来袭,内附应急方案

注意:incaseformat病毒来袭!病毒感染用户机器后会通过U盘等移动存储介质自我复制感染到其他电脑。被感染的电脑除C盘之外的其他磁盘文件都会被删除,且磁盘中可能被创建“incaseformat”文本文档,目前全国大范围用户遭到感染。

风险提示丨incaseformat病毒来袭149.jpg

incaseformat病毒具备定时删除文件的能力,会在特定时间定时发作。大部分的杀毒软件产品都早已支持此病毒的拦截和查杀,但可能因故障环境中都存在病毒文件被加入到信任区,导致病毒文件不能被及时查杀。

经过查看故障环境,确认问题原因是电脑中病毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行为。

病毒名称: incaseformat

针对系统:Windows操作系统

传播途径: U盘 、共享文件夹、写入开机注册表

危害:目前已知,创建伪文件快捷方式(.exe格式),图标文件夹样式,重启后会在非系统盘留下一个incaseformat.txt,并删除其他所有文件!

病毒产生的相关目录或注册表:

# C盘系统目录下

风险提示丨incaseformat病毒来袭551.jpg


# 相关文件及路径

C:\WINDOWS\tsay.exe

C:\windows\system32\ttry.exe

incaseformat.log

incaseformat.txt


# 注册表键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfs


# 任务管理器进程

风险提示丨incaseformat病毒来袭741.jpg


手动查杀:

1、结束进程 tsay.exe ttry.exe

2、删除病毒文件:C:\\windows\\tsay.exe C:\\windows\\ttry.exe

3、删除病毒产生的其他文件 磁盘根目录 incaseformat.log

4、 恢复系统设置:“文件夹选项”->“隐藏已知文件类型的扩展名”去掉选项。 “文件夹选项”->“显示隐藏的文件、文件夹和驱动” 选中

风险提示丨incaseformat病毒来袭936.jpg
风险提示丨incaseformat病毒来袭938.jpg


排查思路:若未出现感染现象(其他磁盘文件还未被删除)

1、勿随意重启主机,安装杀毒软件、病毒库更新到最新,进行全盘查杀,并开启实时监控等防护功能;

2、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

3、尽量关闭不必要的共享,或设置共享目录为只读模式;关闭涉及到的电脑本机、服务器本机、网络设备、安全设备的135-139、445等高危端口; 

4、严格规范U盘等移动介质的使用,使用前先进行查杀;

5、重要数据做好备份;


解决方法:若已出现感染现象(其他磁盘文件已被删除)

1、安装杀毒软件、病毒库更新到最新,进行全盘查杀,清除病毒残留;

3、尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;


其他三方相关资讯或工具参考:

# 深信服资讯

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z


32位系统下载链接:


http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


# 360安全

https://bbs.360.cn/forum.php?mod=viewthread&tid=15952432


分享