關於2021-01-13爆發的incaseformat病毒相關信息收集1.2(持續更新和關注中...)

本文轉載自查看原文 2021-01-13 23:39 1936 virus

聲明：以上信息均來自互聯及各個安全廠商，個人僅是收集和整理，方便大家參考。

病毒名稱： incaseformat

針對系統：Windows操作系統
傳播途徑： U盤、共享文件夾、寫入開機注冊表
危害：目前已知，創建偽文件快捷方式（.exe格式），圖標文件夾樣式，重啟后會在非系統盤留下一個incaseformat.txt，並刪除其他所有文件！

# 中招后非系統盤截圖

# 中毒文件夾和正常文件夾對比

# 中毒后僅系統盤數據保留（為了病毒程序能正常運行？）

有待驗證：目前數據恢復只能恢復垂直記錄技術（PMR）和機械硬盤,現在新款的疊瓦式硬盤（SMR）機械硬盤和SSD固態硬盤這種病毒破壞力可以說目前無解。

病毒文件將在主機重啟后運行，並開始遍歷所有非系統分區下目錄並設置為隱藏，同時創建同名的病毒文件。

病毒產生的相關目錄或注冊表：

# C盤系統目錄下

# 相關文件及路徑

C:\WINDOWS\tsay.exe

C:\windows\system32\ttry.exe

incaseformat.log
incaseformat.txt

# 注冊表鍵值添加和修改

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfs

通過修改注冊表，實現不顯示隱藏文件及隱藏已知文件類型擴展名，涉及的注冊表項包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

# 任務管理器進程

排查思路：
1. 確認用戶端 2021-01-13日或近期是否有使用過U盤（自查，並反饋上報到ISC）
2. 是否電腦在插U盤提示過病毒（自查，並反饋上報到ISC）
3. 查看殺毒軟件后台數據是否有，類U盤快捷方式病毒（ISC處理）

解決方法：
1．所有電腦確認安裝殺毒軟件並且是否正常運行或者病毒庫有無過期（員工自查）
2．及時對特別重要數據進行備份（員工自行處理）
3．對所有設備進行安全掃描檢查，關閉涉及到的電腦本機、服務器本機、網絡設備、安全設備的135-139、445等高危端口; （ISC會進行全網掃描）
4．使用U盤等外設前，使用安全軟件關閉自動播放功能,且對外接設備進行掃描后再繼續使用；