incaseformat病毒来袭?中控supcert教你如何应对!-欧洲杯冠军最新赔冠率

incaseformat病毒来袭?中控supcert教你如何应对!

来源: 中控 时间: 2021-01-14 作者:

2021年1月13日,一种名为incaseformat的蠕虫病毒在全国各地爆发,浙江中控技术股份有限公司工控网络安全应急响应中心supcert也接到客户反映磁盘文件被清空,疑似中了该病毒,并有多个客户咨询中控安全防护产品能否防御此次爆发的病毒,supcert安全工程师得到样本后第一时间对病毒进行分析。

病毒机理分析

样本文件名: tsay.exe/ttry.exe

文件大小: 496640 字节

md5: 4e242bbe2ffb1db45442fa6037c9fd6e

sha1: 43d41d5eff896a4042e56a7a2b46dd8d073752ea

crc32: afe5ff81

图1 病毒详情

图2 病毒文件

该病毒使用delphi编写,病毒会伪装为文件夹图标,感染病毒后,病毒会将自身复制到c:\windows目录下,并创建注册表自启动项

hkey_local_machine\software\microsoft\windows\currentversion\runonce\msfsa

图3 自身复制

图4 写注册表自启动

当病毒在c:\windows目录下运行时,会修改注册表禁用显示隐藏文件,并判断系统时间,满足条件时遍历磁盘,删除除c盘外的所有文件,并在根目录留下incaseformat.log文件。

图5 修改注册表

图6 删除文件生成incaseformat.log

值得注意的是作为一个老病毒,因为使用了delphi库中的 datetimetotimestamp 函数中 imsecsperday 变量的值错误,最终导致 decodedate 计算转换出的系统当前时间错误,直到2021年1月13日才触发了删除文件的代码逻辑,导致大规模爆发。该病毒设定的删除日期不止1月13日,距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的风险。


欧洲杯冠军最新赔冠率的解决方案

经supcert验证,该病毒不具备网络传播的功能,主要是通过usb等设备传播且只有在c:\windows目录下运行时才会执行删除文件等恶意操作,而重启电脑则是导致其执行恶意操作的主要途径。

若发现 c:\windows目录下存在名为tsay.exe/ttry.exe的病毒文件,可以直接删除病毒文件,在删除之前请不要重启电脑。然后排查注册表hkey_local_machine\software\microsoft\windows\currentversion\runonce是否存在病毒的自启动项。

经验证,在安装了中控主机安全卫士vxdefender的电脑上开启白名单防护功能,并确认白名单列表中未包含tsay.exe和ttry.exe文件,则无论重启或是直接双击运行c:\windows目录下的病毒文件,都可以成功拦截incaseformat病毒。

图7 主机安全卫士主界面

图8 程序白名单拦截提示

图9 程序白名单拦截提示

图10 程序白名单拦截日志

中控主机安全卫士专业版vxdefender pro已内置黑名单杀毒引擎,可使用病毒查杀功能成功查杀隔离该病毒,有效地保证工业主机的安全稳定运行。

图11 主机安全卫士专业版病毒查杀功能

安全建议

1. 不要下载或点击未知来源的文件

2. 严格规范u盘等移动存储设备的使用

3. 安装杀毒软件,定期进行扫描杀毒

4. 安装主机安全防护产品


分享