最近,深信服安全团队监控了一个名字incaseformat病毒,全国各个区域都出现了被incaseformat病毒删除文件的用户。经调查,蠕虫通常表现为文件夹蠕虫。集中爆发是由于病毒代码中内置了一些特殊日期,匹配到相应日期后会触发蠕虫的删除文件功能。蠕虫爆发的用户感染时间应早于1月13日。据分析推测,下一次触发删除文件的时间约为2021年1月23日和2月4日。
如果蠕虫病毒在运行后检测自己的执行路径,windows其他磁盘的文件将在目录下删除,并留下一个名称incaseformat.log的空文件:
如果当前执行路径不在windows目录自复制在系统盘中windows并在目录下创建RunOnce注册表值设置开启自启:
值: C:\windows\tsay.exe
情况看似简单,但令人费解的是,蠕虫是如何传播的?为什么会集中爆发?
经过安全专家对病毒文件和威胁情报的详细分析,有了新的发现。蠕虫病毒是由蠕虫病毒引起的Delphi语言编写最早出现在2009年,从那以后,每年都有用户在网上发帖求助于病毒解决方案:
在正常情况下,病毒表现为文件夹蠕虫。与其他文件夹蠕虫病毒一样,它通过文件共享或移动设备传播,在共享目录或移动设备路径下隐藏正常文件夹,伪装成文件夹。
然而,与其他文件不同的是,incaseformat代码中内置了蠕虫病毒“定时条件”,蠕虫获得感染主机的当前时间,然后通过EncodeDate和EncodeTime聚合函数:
获取时间后,程序与指定时间进行比较,触发文件删除的条件如下:
自2009年起,每年4月后的1号、10号、21号、29号将触发删除文件的操作:
然后通过DecodeDate函数拆分日期,在这个程序中很棒Delphi图书馆可能出现错误,导致转换后的时间与真实主机时间不一致,因此真实触发时间不同于程序设置条件(2010年4月1日愚人节开始时间,错误转换为2021年1月13日):
分析人员计算随后会触发删除文件操作的日期为,2021年1月23和2月4号:
深入分析发现,病毒计算日期错误的原因是DecodeDate中,DateTimeToTimeStamp用于计算的变量异常:
由于文件夹蠕虫感染后没有给主机带来明显损失,大多数用户会忽视预防,文件蠕虫主要通过文件共享和移动设备传播。一旦感染很容易迅速传播到内部网络,许多爆炸性的主机可能很早就被感染了。
对此,针对蠕虫病毒向广大用户提出预防建议:
若未发生感染(未删除其他磁盘文件):
- 不要随意重启主机,首先使用安全软件进行全盘查杀,并开启实时监控等防护功能;
- 不要随意下载安装未知软件,尽量在官网下载安装;
- 尽量关闭不必要的共享,或设置共享目录作为阅读模式;深信服EDR用户可以使用微隔离功能封堵共享端口;
- 严格规范U使用盘等移动介质前,先查杀;
感染现象(其他磁盘文件已删除):
- 使用安全软件进行全,清除病毒残留;
- 您可以尝试使用数据恢复工具进行恢复。恢复前尽量不要占用被删除文件磁盘的空间。由于病毒操作文件的删除没有直接从磁盘中覆盖和抹去数据,可能仍有一定的机会恢复;
我们为用户提供免费查杀工具,可下载以下工具进行检测查杀:
- 64下载统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
- 32下载统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
最后,也再次提醒用户,安全不是小事,必须做好重要的数据备份和主机安全保护措施,以防止萌芽!