2021年才開始的第一個月,病毒感染事件再起。昨天開始,很多用戶開機后發現多數電腦除C盤外,全部格式化了,所有文件夾都被隱藏,只留下一個incaseformat.txt文件。這是incaseformat病毒在“卷土重來”,並且有大面積爆發跡象!
一、incaseformat病毒
蠕蟲病毒:是常見的計算機病毒中的一種,主要通過網絡(計算機漏洞、聊天工具、郵件等)和存儲工具(U盤等)途徑傳播,通常隱藏在普通的文件中,比如DOC、PPT、JPG等。蠕蟲是一種不斷自我復制裂變的代碼,在入侵一台計算機完全控制后,會將該計算機作為宿主繼續傳播感染其他計算機,類似棋盤擺米似的倍數增長。
incaseformat蠕蟲病毒通過以下步驟入侵你的數據:
1、自動將本程序代碼復制到系統盤符下的windows目錄中(C:/windows/tsay/tsay.exe)
2、在注冊表中自動創建開機自動啟動的服務
(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)
3、病毒在下次用戶開機時自動啟動,通過DeleteFileA和RemoveDirectory代碼實現對計算機非系統盤符外的所有存儲區域進行文件刪除
4、所有文件夾都被隱藏,只留下一個“incaseformat”文本文檔
歸結重點:incaseformat蠕蟲病毒會自動刪除計算機非系統盤的其他存儲區域的數據,傳播性強,隱蔽性高、危害性大,需要重點防范。
二、病毒防護措施
1、安全上網:提高安全意識,不隨意點擊陌生鏈接、來源不明的郵件附件
2、關閉共享:確保共享目錄關閉或者只讀模式、主機防火牆開啟
3、數據備份:利用雲祺備份軟件馬上備份,保證擁有近期時間段的備份數據
三、雲祺應對蠕蟲及勒索病毒優勢
1、指定文件類型備份文件
incaseformat病毒是通過全盤鏡像起作用的,將你的實際文件全部強制隱藏,用一個大小一樣的.exe文件替換在原有位置,讓你誤以為這個文件就是原來的文件。
針對incaseformat病毒的修改文件特點,雲祺可以在備份前判斷文件的類型,不同於其他備份判斷文件后綴名,雲祺可以深入到文件內部識別到文件的真正類型,從而過濾掉不在允許中的文件。
2、病毒預判並預警
開啟防病毒功能后,指定文件類型備份時,每次備份前都會進行全文件夾掃描,預判備份文件和之前選擇類型是否一樣,如果不一致,會進行預警,提前讓用戶發現,及時預防。
3、文件CDP
雲祺可通過實時的文件備份對文件進行保護,即使原始文件被篡改或被感染,都可以恢復到被修改前一個時刻,恢復時間可以精確到毫秒。
4、操作系統整體備份
目前遇到的感染現象是除系統盤之外,其他盤全部數據都被刪除,只留下一個“incaseformat”文本文檔。
針對蠕蟲病毒對磁盤的刪除操作特性,可以通過雲祺的操作系統備份對整個操作系統進行備份,即使除系統盤外的磁盤被刪除,也可以通過操作系統備份直接恢復整個操作系統到被刪除之前。
5、備份數據防篡改
雲祺備份服務器是搭建在Linux系統上,一定程度可以避免Windows上的病毒感染。另外最重要的一點是雲祺通過獨有的專利技術,通過IO監控,可以對已經備份好的數據進行持續保護,防止任何惡意程序及人工修改,只有雲祺自有程序能夠識別並修改備份文件。
通過對各種病毒感染事件分析,不難發現,數據備份才是應對病毒感染的最佳選擇。在發生數據感染丟失事件前定期或者實時備份重要的業務數據,在事件發生后,快速恢復備份數據,拉起業務運行,減少勒索病毒入侵帶來的損失。
