incaseformat蠕蟲病毒爆發,深信服免費提供查殺工具
近日,深信服安全團隊監測到一種名為incaseformat的病毒,全國各個區域都出現了被incaseformat病毒刪除文件的用戶。
經調查,該蠕蟲正常情況下表現為文件夾蠕蟲,執行后會自復制到系統盤Windows目錄下,并創建注冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執行,病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。該病毒于1月13日集中爆發是由于病毒代碼中內置了部分特殊日期,在匹配到對應日期后會觸發蠕蟲的刪除文件功能,爆發該蠕蟲事件的用戶感染時間應該早于1月13號,根據分析推測,下次觸發刪除文件行為的時間約為2021年1月23日和2月4日。為此深信服免費提供了查殺工具incaseformat病毒幫助廣大用戶檢測查殺incaseformat。
據了解,該蠕蟲病毒在非Windows目錄下執行時,并不會產生刪除文件行為,但會將自身復制到系統盤的Windows目錄下,創建RunOnce注冊表值設置開機自啟,且具有偽裝正常文件夾行為:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
當蠕蟲病毒在Windows目錄下執行時,會再次在同目錄下自復制,并修改如下注冊表項調整隱藏文件:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統盤外的所有文件,在根目錄留下名為incaseformat.log的空文件。
情況看似簡單,但令人不解的是,該蠕蟲是通過什么方式進行傳播的呢?又為何會集中爆發?
經過深信服安全專家對病毒文件和威脅情報的詳細分析,有了新的發現。該蠕蟲病毒由Delphi語言編寫,最早出現于2009年,此后每年都有用戶在網絡上發帖求助該病毒的解決方案。
正常情況下,該病毒表現為一種文件夾蠕蟲,和其他文件夾蠕蟲病毒一樣,通過文件共享或移動設備進行傳播,并會在共享目錄或移動設備路徑下將正常的文件夾隱藏,自己則偽裝成文件夾的樣子。
然而,與其他文件夾蠕蟲不同的是,incaseformat蠕蟲病毒在代碼中內置了一顆“定時炸彈”,蠕蟲會獲取受感染主機的當前時間, 獲取到時間后,程序與指定的時間進行了比對,當條件為:
年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29
即2009年后,每個大于3月的1號、10號、21號和29號時會觸發刪除文件操作。
然后通過DecodeDate函數拆分日期,奇妙的是,該程序中的Delphi庫可能出現了錯誤,DateTimeToTimeStamp用于計算的一個變量發生異常:
導致轉換后的時間與真實的主機時間并不相符,因此真實觸發時間與程序設定條件不相同(原本2010年愚人節的啟動時間,錯誤轉換成了2021年1月13日,本次病毒爆發可能是遲到的愚人節玩笑):
分析人員計算隨后會觸發刪除文件操作的日期為,2021年1月23和2月4號:
由于文件夾蠕蟲感染后沒有給主機帶來明顯的損失,大多數用戶都會疏于防范,且文件蠕蟲主要通過文件共享和移動設備傳播,一旦感染后容易快速蔓延內網,很多此次爆發現象的主機可能在很早前就已經感染。還有一些主機已經潛伏該病毒用戶很可能會在2021年1月23和2月4號被刪除數據。
對此,深信服安全團隊也針對該蠕蟲病毒向廣大用戶提出防范建議:
若主機未出現感染現象(其他磁盤文件還未被刪除):
1、不隨意重啟主機,先使用安全軟件進行全盤查殺,并開啟實時監控等防護功能;
2、 不隨意下載安裝未知軟件,盡量在官方網站進行下載安裝;
3、 盡量關閉不必要的共享,或設置共享目錄為只讀模式;深信服安全團隊提到深信服EDR用戶可使直接用微隔離功能封堵共享端口;
4、 嚴格規范U盤等移動介質的使用,使用前先進行查殺;
5、 重要數據做好備份;
若主機已出現感染現象(其他磁盤文件已被刪除)則:
1、 使用安全軟件進行全盤查殺,清除病毒殘留;
2、 可嘗試使用數據恢復類工具進行恢復,恢復前盡量不要占用被刪文件磁盤的空間,由于病毒操作的文件刪除并沒有直接從磁盤覆蓋和抹去數據,可能仍有一定幾率進行恢復;
深信服也為廣大用戶提供免費查殺工具,可下載如下工具,進行檢測查殺:
64位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載鏈接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
與此同時,深信服安全感知平臺、下一代防火墻、EDR用戶,建議及時升級最新版本,并接入安全云腦,使用云查服務以及時檢測防御新威脅。
最后,也再次提醒廣大用戶,安全無小事,一定要做好重要數據備份。針對目前還未部署備份方案的用戶,深信服企業級備份一體機可以幫助用戶防患于未然,守好數據安全的“最后一道防線”!
