【安全资讯】警惕incaseformat蠕虫,可大批量删除文件
摘要
近期发现有多区域用户被incaseformat蠕虫感染,蠕虫运行后会批量删除磁盘文件。用户可先尝试进行数据恢复进行止损。
简要分析
样本会自我复制到%SystemRoot%目录下,并重命名为重新命名为
"tsay.exe"和"ttry.exe",并且会添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
增加自启动,自启动程序指向C:\windows\tsay.exe
同时还会复制自身到除系统分区以外所有分区的根目录下,将分区下已存在的文件夹隐藏,并且以这些文件夹的名称命名。这也是传播扩散的主要方式。
并且还会强行篡改注册表,导致系统中的"隐藏已知文件夹类型的扩展名"选项功能失效,这样就无法查看文件后缀,以文件夹图标迷惑用户。
样本在特定时间条件下最终会遍历删除系统盘符外的所有文件,并且在根路径下留下incaseformat.log文件,
这个暴力删除操作,样本是会判断时间的,原先设定为大于2009年的大于3月的每个月的1号、10号、21号、29号进行,也就是预定首次爆发时间是2010年4月1日,每隔10天重新触发一下。
而这里由于蠕虫病毒代码编写出现了一点的问题,导致判断时间出现了偏差,导致原先应该早就爆发的暴力删除操作,推迟到今天才执行。
实际上样本已经存在很久,从安恒威胁情报中心平台上观察样本捕获时间至少在14年就已经存在,而样本编译时间是2008年12月。
并且发现国内一些站点也存在被感染,同时文件能够被传播下载的情形。
如某招聘网站上,目前仍可下载。
- h**p://pic.n***zpw.com/uploads/exam/pic/1134/431121199511125219_1557290605799.exe
样本里面包含一些中文字符串,样本的创建的窗口中包含“感动中国特别奉献”、“中华人民共和国万岁”等,推测该样本可能是某个国内人员想在愚人节那天“开玩笑”,对电脑文件进行删除
防御建议
安恒EDR、应急工具箱等客户端类产品可直接用户电脑上查杀incaseformat病毒,其他类产品也可在流量层面就行检测,如:针对刚刚提到的网站被黑后挂了该病毒的情况,安恒APT攻击预警平台可通过流量中分离出文件进行检测。
端上处理方案:
1、建议使用EDR移动存储管理禁止u盘,使用微隔离封445端口。
2、已经中招的机器千万不要重启,先将信任区清除,再使用EDR或应急工具箱进行全盘查杀。
3、关于数据恢复可以使用应急工具箱中数据恢复小工具尝试恢复