1 360、深信服等安全公司发布紧急预警,称监测蠕虫病毒 incaseformat 大规模爆发,很多公司都删除了磁盘数据。
主要通过 U 盘传播,感染用户机器后通过 U 自我复制感染其他电脑。病毒启动后,会自动复制到 C:WINDOWStsay.exe,计算机重启后,启动 20s 删除用户数据。
据安全监测机构预计,incaseformat 蠕虫病毒可在 1月 23日再次爆发,建议用户提前做好防止数据丢失的工作。
蠕虫病毒大规模爆发,启动 20s 删除用户文件
根据安全监测机构的分析,通过 DeleteFileA 和 RemoveDirectory 代码删除了计算机中的文件。病毒也可以自动复制到 C:WINDOWStsay.exe 创建启动项后退出,计算机再次启动后启动 20s 开始删除用户文件。
据了解,这已不是蠕虫病毒第一次爆发,早在 2014 年就发生了类似事件。
目前,我国许多地区不同行业的用户都受到蠕虫病毒的影响,但目前尚未发现该病毒的传播范围有针对性。
病毒只在 Windows 运行在目录下
据深信服安全研究团队介绍,蠕虫病毒只在 Windows 只有在目录下执行时才会触发删除文件。Windows 在目录下执行时,病毒会自动复制到系统盘Windows 目录下,创建 RunOnce 注册表值设置自启动,并伪装成正常文件。
蛆虫病毒在 Windows 目录执行时,将在同一目录下再次复制,并修改以下注册表项以调整隐藏文件:
蠕虫病毒将在根目录中留下 incaseformat.log 空文件:
专家发布安全建议:
- incaseformat 蠕虫病毒大规模爆发后,多家安全机构紧急发布了支持计算机检测的病毒扫描版。
安全专家建议,如果计算机中有病毒感染,应立即切断网络,并使用杀毒软件进行全面检查,可以尝试使用数据恢复软件进行数据恢复。
安全建议:
- 未知来源文件不得打开;
- 不要下载安装非官方网站的软件;
- 不要选择“隐藏已知文件的扩展名称”;
- 禁止 U 盘自动运行;
- 定期更换高强度密码;
- 注意备份重要文件。