可導(dǎo)致用戶(hù)數(shù)據(jù)丟失，眾多行業(yè)用戶(hù)受影響

2021年1月13日，深信服、360、火絨安全實(shí)驗(yàn)室等國(guó)內(nèi)安全公司對(duì)外發(fā)布預(yù)警，稱(chēng)一種名為incaseformat的蠕蟲(chóng)病毒在國(guó)內(nèi)爆發(fā)。

深信服稱(chēng)，該蠕蟲(chóng)病毒早在2014年就已經(jīng)爆發(fā)。因?yàn)樵摬《舅褂玫膁elphi庫(kù)中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯(cuò)誤，最終導(dǎo)致 DecodeDate 計(jì)算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時(shí)間錯(cuò)誤。

該蠕蟲(chóng)病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤(pán)Windows目錄下，并創(chuàng)建注冊(cè)表自啟動(dòng)，一旦用戶(hù)重啟主機(jī)，使得病毒母體從Windows目錄執(zhí)行，病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤(pán)外的所有磁盤(pán)文件進(jìn)行刪除，對(duì)用戶(hù)造成不可挽回的損失。

目前，已發(fā)現(xiàn)國(guó)內(nèi)多個(gè)區(qū)域不同行業(yè)用戶(hù)遭到感染，病毒傳播范圍暫未見(jiàn)明顯的針對(duì)性。

病毒描述

經(jīng)分析，該蠕蟲(chóng)病毒在非Windows目錄下執(zhí)行時(shí)，并不會(huì)產(chǎn)生刪除文件行為，但會(huì)將自身復(fù)制到系統(tǒng)盤(pán)的Windows目錄下，創(chuàng)建RunOnce注冊(cè)表值設(shè)置開(kāi)機(jī)自啟，且具有偽裝正常文件夾行為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa值: C:\windows\tsay.exe

當(dāng)蠕蟲(chóng)病毒在Windows目錄下執(zhí)行時(shí)，會(huì)再次在同目錄下自復(fù)制，并修改如下注冊(cè)表項(xiàng)調(diào)整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統(tǒng)盤(pán)外的所有文件，在根目錄留下名為incaseformat.log的空文件：

深信服解決方案

由于該病毒只有在Windows目錄下執(zhí)行時(shí)會(huì)觸發(fā)刪除文件行為，重啟會(huì)導(dǎo)致病毒在Windows目錄下自啟動(dòng)，因此，深信服安全團(tuán)隊(duì)建議廣大用戶(hù)在未做好安全防護(hù)及病毒查殺工作前請(qǐng)勿重啟主機(jī)：

1、不要隨意下載安裝未知軟件，盡量在官方網(wǎng)站進(jìn)行下載安裝；

2、盡量關(guān)閉不必要的共享，或設(shè)置共享目錄為只讀模式；深信服EDR用戶(hù)可使用微隔離功能封堵共享端口；

3、嚴(yán)格規(guī)范U盤(pán)等移動(dòng)介質(zhì)的使用，使用前先進(jìn)行查殺；

4、如發(fā)現(xiàn)已感染主機(jī)，先斷開(kāi)網(wǎng)絡(luò)，使用安全產(chǎn)品進(jìn)行全盤(pán)掃描查殺再?lài)L試使用數(shù)據(jù)恢復(fù)類(lèi)軟件。深信服為廣大用戶(hù)提供免費(fèi)查殺工具，可下載如下工具，進(jìn)行檢測(cè)查殺：

64位系統(tǒng)下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

與此同時(shí)，深信服安全感知平臺(tái)、下一代防火墻、EDR用戶(hù)，建議及時(shí)升級(jí)最新版本，并接入安全云腦，使用云查服務(wù)以及時(shí)檢測(cè)防御新威脅。

火絨安全實(shí)驗(yàn)室分析

火絨安全實(shí)驗(yàn)室工程師稱(chēng)，此次的病毒與常見(jiàn)的蠕蟲(chóng)病毒不同，除了具有偽裝文件夾圖標(biāo)，隱藏原始文件夾的危害以外，還設(shè)置了定時(shí)刪除文件的邏輯。一旦滿(mǎn)足設(shè)定的時(shí)間，將會(huì)刪除用戶(hù)電腦中除C盤(pán)之外的其他盤(pán)符的所有文件，并且可能在磁盤(pán)根目錄創(chuàng)建“incaseformat.txt”文本文檔。此次有大量用戶(hù)被刪文件的原因，是因?yàn)檫@些用戶(hù)對(duì)該病毒進(jìn)行了信任，或者根本沒(méi)有安裝安全軟件。很可能該病毒已經(jīng)在用戶(hù)電腦中潛伏多年。

不僅如此，該病毒設(shè)定的刪除日期不止今天(1月13日)，距離最近的下一次刪除時(shí)間為1月23日。如果用戶(hù)電腦中還有殘留的病毒，將面臨再次被刪除的危害。建議廣大用戶(hù)及時(shí)使用火絨安全軟件全盤(pán)掃描(清空信任區(qū))進(jìn)行排查。對(duì)于未安裝火絨已經(jīng)中毒的用戶(hù)，建議清空信任區(qū)后進(jìn)行全盤(pán)掃描查殺。

2014年火絨對(duì)該樣本的收錄和檢測(cè)

判斷系統(tǒng)時(shí)間執(zhí)行全盤(pán)文件刪除相關(guān)代碼

病毒所使用的有問(wèn)題的 DateTimeToTimeStamp 相關(guān)代碼

病毒傳播相關(guān)代碼

蠕蟲(chóng)病毒因其會(huì)偽裝成其他文件、不斷復(fù)制自身的特性，具有非常強(qiáng)的傳播性。即便被安全軟件查殺，也經(jīng)常會(huì)被用戶(hù)錯(cuò)當(dāng)成“誤殺”，進(jìn)行信任處理。也因此，蠕蟲(chóng)病毒在企業(yè)內(nèi)網(wǎng)中的活躍度一直居高不下。學(xué)校、打印店等也是蠕蟲(chóng)病毒的重災(zāi)區(qū)。火絨工程師再次提醒廣大用戶(hù)，若遇到安全軟件頻繁報(bào)毒的情況，很大概率就是感染了蠕蟲(chóng)病毒，應(yīng)第一時(shí)間咨詢(xún)安全廠商，不要輕易對(duì)其進(jìn)行信任。

原文來(lái)源：云頭條