最近,深信服安全团队监控了一个名字incaseformat病毒出现在全国各地incaseformat用户删除病毒文件。
经调查,蠕虫在正常情况下表现为文件夹蠕虫,执行后复制到系统磁盘Windows一旦用户重新启动主机,病毒母体就会从目录下创建注册表。Windows目录执行时,病毒过程将删除系统磁盘以外的所有磁盘文件,给用户造成不可弥补的损失。病毒于1月13日集中爆发,因为病毒代码中有一些特殊日期,在匹配到相应日期后会触发蠕虫的删除文件功能。蠕虫事件的用户感染时间应早于1月13日,据分析推测,下次触发删除文件的时间约为2021年1月23日和2月4日。为此,深信服免费提供查杀工具incaseformat病毒帮助用户检测和杀灭incaseformat。
据了解,蠕虫病毒在非Windows在目录下执行时,不会删除文件,但会将自己复制到系统磁盘中Windows创建在目录下RunOnce注册表值设置启动自启动,伪装正常文件夹:
值: C:\windows\tsay.exe
当蠕虫病毒在Windows执行目录时,将在同一目录下再次复制,并修改以下注册表项以调整隐藏文件:
删除系统盘外的所有文件最终遍历,留名为根目录incaseformat.log的空文件。
情况看似简单,但令人费解的是,蠕虫是如何传播的?为什么会集中爆发?
经过对病毒文件和威胁情报的详细分析,有了新的发现。蠕虫病毒是由蠕虫病毒引起的Delphi语言编写最早出现在2009年,从那以后,用户每年都会在网上发帖寻求病毒解决方案的帮助。
在正常情况下,病毒表现为文件夹蠕虫。与其他文件夹蠕虫病毒一样,它通过文件共享或移动设备传播,在共享目录或移动设备路径下隐藏正常文件夹,伪装成文件夹。
然而,与其他文件不同的是,incaseformat代码中内置了蠕虫病毒“定时炸弹”,当条件为:
年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29
也就是说,在2009年之后,每个大于3月的1号、10号、21号和29号都会触发删除文件的操作。
然后通过DecodeDate函数拆分日期,在这个程序中很棒Delphi库可能有错误,DateTimeToTimeStamp用于计算的变量异常:
导致转换后的时间与真实的主机时间并不相符,因此,真实触发时间不同于程序设置条件(2010年愚人节原始启动时间错误转换为2021年1月13日,病毒爆发可能是愚人节迟到的笑话):
2021年1月23日和2月4日,分析人员计算后将触发删除文件的日期:
由于文件夹蠕虫感染后没有给主机带来明显损失,大多数用户会忽视预防,文件蠕虫主要通过文件共享和移动设备传播。一旦感染很容易迅速传播到内部网络,许多爆炸性的主机可能很早就被感染了。一些主机潜伏在病毒用户可能会在2021年1月23日和2月4日被删除。
对此,深信安全团队也向用户提出了预防蠕虫病毒的建议:
如果主机没有感染(其他磁盘文件没有删除):
1、不随意重启主机,首先使用安全软件进行全盘查杀,并开启实时监控等防护功能;
2、 不随意下载安装未知软件,尽量在官网下载安装;
3、 尽量关闭不必要的共享,或设置共享目录作为阅读模式;深信服安全团队提到深信服EDR共享端口可直接用微隔离功能封堵;
4、 严格规范U使用盘等移动介质前,先查杀;
5、 备份重要数据;
如果主机感染(其他磁盘文件已删除),
1、 使用安全软件进行全盘查杀,清除病毒残留;
2、 可以尝试使用数据恢复工具进行恢复。恢复前尽量不要占用被删除文件磁盘的空间。由于病毒操作的文件删除没有直接从磁盘中覆盖和抹去数据,可能仍有一定的恢复机会;
深信服还为广大用户提供免费查杀工具,可下载以下工具进行检测查杀:
64下载统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32下载统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
同时,深信安全感知平台,下一代防火墙,EDR建议用户及时升级最新版本,接入安全云脑,使用云查服务及时检测新的防御威胁。
最后,我们也再次提醒大多数用户,安全不是小事,我们必须做好重要的数据备份。对于尚未部署备份计划的用户,我们相信企业级备份一体机可以帮助用户处于萌芽状态,保持数据安全“最后一道防线”!