首页 > 传媒 > 关键词 > incaseformat最新资讯 > 正文

incaseformat蠕虫病毒爆发,深信服免费提供查杀工具

2021-01-14 16:48 · 稿源:站长之家用户投稿

近日,深信服安全团队监测到一种名为incaseformat的病毒,全国各个区域都出现了被incaseformat病毒删除文件的用户。

经调查,该蠕虫正常情况下表现为文件夹蠕虫,执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。该病毒于 1 月 13 日集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于 1 月 13 号,根据分析推测,下次触发删除文件行为的时间约为 2021 年 1 月 23 日和 2 月 4 日。为此深信服免费提供了查杀工具incaseformat病毒帮助广大用户检测查杀incaseformat。

据了解,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt ->0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue ->0x0

最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件。

情况看似简单,但令人不解的是,该蠕虫是通过什么方式进行传播的呢?又为何会集中爆发?

经过深信服安全专家对病毒文件和威胁情报的详细分析,有了新的发现。该蠕虫病毒由Delphi语言编写,最早出现于 2009 年,此后每年都有用户在网络上发帖求助该病毒的解决方案。

正常情况下,该病毒表现为一种文件夹蠕虫,和其他文件夹蠕虫病毒一样,通过文件共享或移动设备进行传播,并会在共享目录或移动设备路径下将正常的文件夹隐藏,自己则伪装成文件夹的样子。

然而,与其他文件夹蠕虫不同的是,incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”,蠕虫会获取受感染主机的当前时间, 获取到时间后,程序与指定的时间进行了比对,当条件为:

年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29

即 2009 年后,每个大于 3 月的 1 号、 10 号、 21 号和 29 号时会触发删除文件操作。

然后通过DecodeDate函数拆分日期,奇妙的是,该程序中的Delphi库可能出现了错误,DateTimeToTimeStamp用于计算的一个变量发生异常:

导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本 2010 年愚人节的启动时间,错误转换成了 2021 年 1 月 13 日,本次病毒爆发可能是迟到的愚人节玩笑):

分析人员计算随后会触发删除文件操作的日期为, 2021 年 1 月 23 和 2 月 4 号:

由于文件夹蠕虫感染后没有给主机带来明显的损失,大多数用户都会疏于防范,且文件蠕虫主要通过文件共享和移动设备传播,一旦感染后容易快速蔓延内网,很多此次爆发现象的主机可能在很早前就已经感染。还有一些主机已经潜伏该病毒用户很可能会在 2021 年 1 月 23 和 2 月 4 号被删除数据。

对此,深信服安全团队也针对该蠕虫病毒向广大用户提出防范建议:

若主机未出现感染现象(其他磁盘文件还未被删除):

1、不随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;

2、 不随意下载安装未知软件,尽量在官方网站进行下载安装;

3、 尽量关闭不必要的共享,或设置共享目录为只读模式;深信服安全团队提到深信服EDR用户可使直接用微隔离功能封堵共享端口;

4、 严格规范U盘等移动介质的使用,使用前先进行查杀;

5、 重要数据做好备份;

若主机已出现感染现象(其他磁盘文件已被删除)则:

1、 使用安全软件进行全盘查杀,清除病毒残留;

2、 可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;

深信服也为广大用户提供免费检测查杀工具,可联系深信服人员获取。

与此同时,深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁。

最后,也再次提醒广大用户,安全无小事,一定要做好重要数据备份,以及主机安全防护措施,才能防患于未然!

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 深信服连续十年入选Gartner SWG 魔力象限

    在全球领先的研究顾问公司Gartner发布的2020 Gartner SWG魔力象限中,深信服再次被评为细分市场主导者(NICHE PLAYERS)。值得注意的是,这是深信服第十年入选Gartner SWG魔力象限。严格来说,2011- 2020 年,连续十年进入Gartner SWG魔力象限的中国厂商,只有深信服。十年来,深信服初心未变,在全网行为管理AC的投入始终顺应潮流紧跟用户需求,想用户之所想,坚持“持续创新,全情投入”,帮助用户实现有效易用的行为安全一体化管?

  • 基于深信服HCI&SDS的英特尔®精选解决方案,实现性能无忧,数据增值

    12月17日,基于深信服HCI&SDS的英特尔?精选解决方案推介会暨深信服EDS存储高性能版本发布会在线上举行。为了解决传统数据中心架构所暴露出的维护成本过高、扩展困难、生命周期短以及海量数据处理效率低、数据孤岛等问题,深信服与英特尔双方团队历经长达7个月的打磨、测试和调优,这一面向数据中心数据处理与存储的精选解决方案终于与大家见面!深信服科技股份有限公司副总裁陈彦彬、英特尔市场营销集团副总裁张怡幡、英特尔公司市?

  • togocareer为留学生匹配优质实习,快速刷新求职履历

    随着留学归国就业人数不断增长,留学生归国就业受毕业时间、低于等因素限制,难以适应国内的求职节奏,因此难度不断增加,留学生已逐渐告别“留学红利”。 Togocareer——一站式职前教育服务机构,已成为越来越多留学生的求职选择,togocareer能全方位快速提升求职能力,解决就业难题,助力通关心仪名企。留学生远在海外,不了解国内各行业发展现状,对求职流程及应聘信息缺乏认知,求职过程中自身优势不容易发挥出来,成为大多数?

  • 深信服荣获2020年度科技兴医砥柱奖

    2020年12月26日,“2020HC3i数字医疗网年度盛典暨2020-2021年度科技兴医优秀解决方案颁奖典礼”在北京隆重召开。历经主办方专委会数月的调研评估,深信服医疗行业云化数据中心解决方案通过层层筛选,最终斩获“2020年度科技兴医优秀解决方案-行稳致远砥柱奖”。该奖项的获评肯定了深信服为医疗信息建设事业发展所做出的贡献,也体现了深信服在云计算领域的技术实力,以及在医疗行业拥有的广泛的用户实践。新冠疫情的爆发,加速了信

  • 变革HCI软件!Rancher推出全新开源项目Harvester

    2020 年 12 月 17 日,业界应用最为广泛的Kubernetes管理平台创建者Rancher Labs(以下简称Rancher)宣布推出全新开源软件Harvester,一个通过Kubernetes构建的超融合基础架构(HCI)软件。Harvester在裸机服务器上提供完全集成的存储和虚拟化功能,无需拥有Kubernetes相关知识,即可轻松上手。值得关注的是,Harvester是一个完全由Rancher中国研发团队设计和开发的开源软件,也是Rancher中国研发团队出色技术实力的有力佐证。Harv

  • PrestoSQL宣布更名为Trino Facebook注册"Presto"商标

    近日,Presto创始团队宣布正式将 PrestoSQL 更名为 Trino。而原因也很简单,因为Facebook 注册"Presto"商标,使得PrestoSQL不能再使用原有的名字。

  • 支持抖音、抖店,抖音私域就用酷客SCRM

    酷客SCRM作为全渠道会员管理系统,继淘宝有赞京东等电商平台接入之后,又上线了网店管家、聚水潭等ERP接入功能,目前,酷客SCRM已全面支持抖音粉丝、抖店订单自动同步功能,助力商家更高效地打造抖音私域,高效地管理粉丝、促进私域变现。2020 年10 月9 日后,抖音直播间切断第三方商品来源,开始全面进入抖店的时代。抖店权重维护,以及抖店私域沉淀和私域运营,也是更多商家的核心聚焦点之一。酷客SCRM抖音粉丝和抖店订单同步功?

  • 聚力数字新基建——深信服打造云网融合安全建设新路径

    12月22日-23日,由中国通信企业协会、中国信息通信研究院主办的2020年(第十届)电信和互联网行业网络安全年会在广州市东方宾馆举办。本次大会以“创新 协同 推动——共筑新基建网络安全”为主题,邀请到工业和信息化部网络安全管理局领导、各省通信管理局领导、各省通信行业协会代表、基础电信企业安全管理人员以及网络安全企业代表等众多嘉宾,共话网络安全发展新态势。在新基建安全防护论坛上,深信服运营商事业部总经理张瑜以?

  • Rock it!ASRock 500系列主板新装上阵

    2021年1月11日,台湾台北— 千呼万唤始出来!全球领先的主板制造商ASRock(ASRock Inc.),自豪地发布旗下最新的Intel 500系列主板,芯片组包括Z590、H570、B560以及H510全线大军。可支持当前的第10代Intel Core系列处理器,和即将发布的第11代Intel Core系列处理器。Z590 Taichi,Z590 PG Velocita – 旗舰称王「毫不妥协的性能」永远是我们对于高阶主板的追求。隆重献上ASRock 「Z590 Taichi」。Z590 Taichi拥有决不妥协的供电规格,包括1

  • 超越 PyTorch 和 TensorFlow,这个国产框架有点东西

    在深度学习领域,PyTorch、TensorFlow 等主流框架,毫无疑问占据绝大部分市场份额,就连百度这样级别的公司,也是花费了大量人力物力,堪堪将 PaddlePaddle 推入主流。在这样资源主导、肉食者谋的竞争环境下 ,一家国产深度学习框架的创业公司 OneFlow 出现了。它以处理大规模模型见长,甚至今年将全部源码和实验对比数据,在 GitHub 进行了开源。质疑不可避免的出现了:OneFlow 这种擅长解决大模型训练的新架构有必要吗?深度学习

  • 彭博:微软或效仿苹果为 Surface 研发自家 ARM 处理器

    自苹果推出搭载M1 的Mac电脑以来,其性能的改进有目共睹,目前市场反馈良好。而来自彭博的消息指,现在微软也有意效仿苹果自行研发处理器,处理器除了可用在Surface 电脑外,更可以为自家Auzre Cloud 上使用。

  • 业界首家!酷客SCRM支持抖店评价有礼

    2021 年抖音年货节报名通道已经开启,参与条件包含:商家体验分不低于4. 4 分;近 30 日内退款率不高于40%等…在大家都还停留在淘宝拼多多的购物意识时,抖音抖店早已进军电商领域,凭借 6 亿+的日活,相信能够刷新电商界的新认知。一周前,酷客SCRM抖店订单自动同步功能上线,抖店好评(抖店评价有礼)功能紧随其后,为抖音商家提供更全面的店铺管理工具,及抖店私域流量运营解决方案。酷客SCRM,也是业界首家支持抖店好评(评价有礼)?

  • Mercurity.Finance:NFT与经济体系相结合

    在区块链市场中,以2017年末的区块链游戏《CryptoKitties》为起始点,借着《CryptoKitties》的火爆,当时来玩这款游戏的人络绎不绝,甚至一度造成以太坊区块链的拥堵。从此之后,链游、NFT的概念迅速蹿红。NFT(Non-fungible Token)意为非同质化代币,简单理解就是不能复制、不可替代、具有唯一属性的数字资产。目前常见的NFT发行标准有ERC-721、ERC-1155、ERC-998、BCX-NHAS1808等。上述的《CryptoKitties》就是采用了ERC-721的方式在游?

  • SensorTower:苹果App Store去年收入超过700亿美元

    据应用程序分析公司SensorTower消息, 2020 年全球应用程序消费额超过 1000 亿美元,其中苹果App Store去年收入超过 700 亿美元。

  • NEXON联合ARC SYSTEM WORKS发布DNF改编游戏DNF Duel

    NEXON26日发表,将推出以营运中之线上游戏《DNF》为题材的2D 对战格斗游戏《DNF Duel(暂定名称)》,由旗下子公司NEOPLE 与以日本ARC SYSTEM WORKS 团队共同开发,预定跨平台推出。

    dnf
  • 美国权威开源安全机构 WhiteSource 完成对 Mintegral SDK 的安全审计

    据悉,移动广告平台 Mintegral 的 SDK 已通过美国权威第三方开源安全平台 WhiteSource 的开源安全审计。WhiteSource 的审计报告显示,Mintegral SDK 开源代码的安全水平较高,可以为合作伙伴提供安全、可信赖的服务。开源安全是数据安全的重要基础回顾过去两年,数据安全问题愈发凸显,而确保数据安全涉及到企业安全管理制度、技术系统、合规性等多方面。其中,互联网企业的应用代码安全是保障数据安全的重要基础。据了解,Mintegral 在今

  • 建群太麻烦?试试酷客SCRM一键拉群,效率翻几番

    社群运营要想做的好,用户画像需要分析透。不同属性的用户,需要不同的营销策略,比如经常犹豫不决的用户,就是需要社群内的晒图有礼、粉丝互动等方式促单;而高忠诚度的客户,则更需要更专业的社群运营和一对一服务。因此,想要搞好社群运营,第一步的建群,就至关重要。标签筛选,一键建群通过标签筛选,将不同属性的人群放在一个社群里运营,运营效率更高,社群的运营方案也更有针对性。比如,潜在客户可统一放在一个群聊中,通?

  • 纯金版AirPods Max售价超70万元 Caviar:纯金就是优雅

    本着“苹果的产品,一个都不放过”的原则,“内俄国鱼子酱”Caviar又对苹果下手了,这次是AirPods Max。Caviar宣布,将在2021年发布纯金的奢华改装版AirPods Max。从产品渲染图可以看到,耳机的外部将采用纯金设计,内部将提供白色和黑色两种颜色,每种颜色全球限量一件,售价10.8万美元(折合人民币约70万元)。

  • 佳仕莲Casylin:愿你时光往复,容颜如初

    何以防老,唯有护肤。岁月无情,一视同仁,没有人可以得到它的眷顾,那些拥有不老神颜的明星并不是岁月的宠儿,完美的肌肤状态是他们日复一日护肤的功劳。我们抵抗不了时光流逝带来的纹路,却可以通过专业科学的护肤让青春在脸上多停留一段时间。河南蓝眸化妆品有限公司旗下品牌佳仕莲Casylin携手创美抗衰老研究院精心探究持续有效的护肤之道,采用臻颜赋活技术和滋养修护精华,引领肌肤走过漫长岁月。 佳人奢宠焕颜面膜:滋养+修?

  • 消息称Smart将生产一款紧凑型电动SUV,基于吉利SEA平台

    汽车品牌Smart以其小巧的微型汽车而闻名,现在已有消息称Smart确认正在开发一款电动SUV。Smart的销售和售后副总裁丹尼尔·莱斯科夫(Daniel Lescow)说,Smart的第一款SUV“不会只是SUV”。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天