【安全圈】incaseformat 病毒 23号恐将再次发作,请注意防范!
事件描述
1 月 13 日,“incaseformat” 蠕虫病毒暴力删除磁盘文件,引起了不少用户对电脑安全的恐慌。此次蠕虫病毒,不仅伪造了文件夹图标、隐藏原始文件夹,还设置了定时删除文件的逻辑。除了 1 月 13 日,此病毒通过定时器还设定了多个时间段,后续执行删除文件的时间为 1 月 23 日、2 月 4 日等日期。
分析
据了解,该蠕虫病毒在非 Windows 目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的 Windows 目录下,创建 RunOnce 注册表值设置开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
当蠕虫病毒在 Windows 目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最终遍历删除系统盘外的所有文件,在根目录留下名为 incaseformat.log 的空文件。情况看似简单,但令人不解的是,该蠕虫是通过什么方式进行传播的呢?又为何会集中爆发?经过安全专家对病毒文件和威胁情报的详细分析,有了新的发现。该蠕虫病毒由 Delphi 语言编写,最早出现于 2009 年,此后每年都有用户在网络上发帖求助该病毒的解决方案。
正常情况下,该病毒表现为一种文件夹蠕虫,和其他文件夹蠕虫病毒一样,通过文件共享或移动设备进行传播,并会在共享目录或移动设备路径下将正常的文件夹隐藏,自己则伪装成文件夹的样子。
年份 > 2009,月份 > 3,日期 = 1 或 日期 = 10 或 日期 = 21 或 日期 = 29
即 2009 年后,每个大于 3 月的 1 号、10 号、21 号和 29 号时会触发删除文件操作。
然后通过 DecodeDate 函数拆分日期,奇妙的是,该程序中的 Delphi 库可能出现了错误,DateTimeToTimeStamp 用于计算的一个变量发生异常:
导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本 2010 年愚人节的启动时间,错误转换成了 2021 年 1 月 13 日,本次病毒爆发可能是迟到的愚人节玩笑):
分析人员计算随后会触发删除文件操作的日期为,2021 年 1 月 23 和 2 月 4 号:
由于文件夹蠕虫感染后没有给主机带来明显的损失,大多数用户都会疏于防范,且文件蠕虫主要通过文件共享和移动设备传播,一旦感染后容易快速蔓延内网,很多此次爆发现象的主机可能在很早前就已经感染。还有一些主机已经潜伏该病毒用户很可能会在 2021 年 1 月 23 和 2 月 4 号被删除数据。
防范建议:
若主机未出现感染现象(其他磁盘文件还未被删除):
1、不随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;
2、 不随意下载安装未知软件,尽量在官方网站进行下载安装;
3、 尽量关闭不必要的共享,或设置共享目录为只读模式;深信服安全团队提到深信服 EDR 用户可使直接用微隔离功能封堵共享端口;
4、 严格规范 U 盘等移动介质的使用,使用前先进行查杀;
5、 重要数据做好备份;
若主机已出现感染现象(其他磁盘文件已被删除)则:
1、 使用安全软件进行全盘查杀,清除病毒残留;
2、 可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;
END
安全圈