新病毒蔓延!近日,360安全大脑检测到蠕虫病毒incaseformat大范围爆发,病毒感染用户机器后会通过U盘自我复制感染到其他电脑,导致电脑中磁盘文件被删除,给用户造成极大损失。360全系列产品支持此病毒的拦截和查杀。


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


对该病毒进行溯源和深入分析后,360安全大脑发现,用户电脑中毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实施了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除用户文件。


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


360安全大脑提醒广大用户,该病毒会暴力删除用户的数据,给用户造成极大损失。建议广大用户尽快下载安装360安全卫士个人版、360安全卫士团队版,并在设置中开启U盘防护功能,可有效抵御病毒攻击。


1月13日,火绒工程师接到大量用户求助,称电脑中除C盘之外的其他文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。经火绒工程师查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。火绒用户无需担心,火绒安全软件(个人版、企业版)无需升级即可对该病毒进行拦截并查杀。


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


不仅如此,该病毒设定的删除日期不止今天(1月13日),距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。我们建议广大用户及时使用火绒安全软件全盘扫描(清空信任区)进行排查。对于未安装火绒已经中毒的用户,建议安装火绒后进行全盘扫描查杀。


事实上,火绒2014年就已截获到该病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒。直到2021年1月13日才触发删除用户文件的代码逻辑。


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


2014年火绒对该样本的收录和检测


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


判断系统时间执行全盘文件删除相关代码


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


病毒所使用的有问题的 DateTimeToTimeStamp 相关代码


蠕虫病毒incaseformat大范围爆发!注意电脑安全!再不备份就晚了


病毒传播相关代码


蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。火绒工程师再次提醒广大用户,若遇到安全软件频繁报毒的情况,很大概率就是感染了蠕虫病毒,应第一时间咨询安全厂商,不要轻易对其进行信任。


作为PC安全的第一品牌,360安全卫士将秉持“大安全”的理念,继续发挥尖端技术优势,和在安全领域十余年的积累,守护用户信息安全,为用户打造更加贴心、完善的安全服务生态。


对于Incaseformat病毒的处理方法请收好,以防不时之需,我们公司已有几台电脑中招了,按这个方法资料已经全部找回。


今日,国内多个区域和行业,均中了incaseformat病毒,危害极高,被感染电脑会出现自动删除C盘以外其他盘内的所有的文件现象。


中招现象∶目前遇到的现象是除系统盘外,其他盘符全部数据被删掉了,会在非系统盘的其他盘的根目录下有1个incaseformtlog文件。


注意∶中招一定不要重启!中招一定不要重启!中招一定不要重启! 如果发现中招请及时联系网络运维组,重启后数据会丢失,中招了没有重启的可以在隐藏文件中把数据先拷贝出来,如果盘符数据被删除后,不要在已删除的盘符中重新写入数据。希望各位同事在办公的同时注意以下几点:


1、一定及肯定的不要点击一切来源不明的邮件以及附件、邮件中包含的链接;


2、电脑接入外置设备U盘(移动介质设备)时;最好先进行杀毒处理,在进行访问


3、采用高强度的密码,避免使用弱口令密码,并定期更换密码;


4、打开系统自动更新,并检测更新进行安装;打全系统及应用程序补丁程序;


5、尽量关闭不必要的文件共享;


6、请注意定期备份重要文档。最好做到离线备份和异地存储;确保重要资料安全。

文章来源: 火绒安全实验室

免责声明

我来说几句

不吐不快,我来说两句
最新评论

还没有人评论哦,抢沙发吧~