• 帮助
  • 关于
  • 关于我们
  • 荣誉资质
  • 新闻公告
  • 联系我们
  • 加入我们
  • 首页>
  • 通知公告>
  • IncaseFormat蠕虫病毒来势汹汹,警惕文件被删除
  • IncaseFormat蠕虫病毒来势汹汹,警惕文件被删除

    发布时间:2021-01-14

    1月13日,一款“古老”的网络蠕虫病毒Incaseformat引发了全国范围内多起磁盘数据被格式化,造成了数据大量丢失。网御星云专家团队第一时间进行专项分析,在准确掌握情况之后,同步推出了应急处置方案。



    重点信息

    病毒名称:

    incaseformat、Worm.Win32.Autorun

    传播途径:移动介质

    危害程度:非系统分区数据删除

    触发条件:随电脑开机启动

    威胁预测:23日会再次爆发

    处置方案:进程抑制、文件删除


    威胁 “缘由”


    该病毒最早的出现时间约在2009年,由于病毒编码中时间换算错误,导致了该病毒潜藏到10余年后才触发后续行为,错误的执行了删除文件的操作,即:

    1.进行自复制(C:\windows\tsay.exe、C:\Windows\ttry.exe)


    2.设置注册表自启动(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)


    3.隐藏受保护的文件


    4.触发执行后续的文件删除动作



    防护 建议


     1.建议检查并确保共享目录处于关闭状态、主机防火墙处于开启状态,提前防患


    2.病毒主要是通过U盘传播,建议暂停使用U 盘等移动存储工具


    3.不打开未知文件、不点击未知链接


    4.威胁清除前不要重启电脑


    5.已中招的电脑,待专杀完成后,建议请专业团队恢复数据

    处置 方案


    用户

    图片

    1.排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件


    2.排查并删除注册表“msfsa”项

    32位系统:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    64位系统:

    “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”


  • 技术与支持

  • 意见反馈
  • 客户服务
  • 帮助文档
  • 关于我们

  • 公司介绍
  • 新闻动态
  • 加入我们
  • 服务协议