除了C盘,别盘被隐藏删除的病毒处理
部分用户反馈电脑下载邮件,或使用U盘复制文件后,除了C盘,DEF盘重要数据全部消失,只留下一个文件名为“incaseformat”的文本文件,本人遇到了,安全卫士也检测到了,查杀了,不小心系统重启了,电脑可到干净了,就剩C盘有内容了,安全卫士查杀木马后,恢复区恢复文件也不管用了
用户电脑中毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实施了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除用户文件。
该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。
目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。
病毒症状描述
该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
中毒后重启电脑,最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:
一般用户解决办法
系统C盘以外的磁盘消失并生成incaseformat文件。经过排查分析该病毒为蠕虫病毒,通过U盘(移动存储设备)传播。感染后会将系统盘C盘以外的磁盘文件隐藏,并在磁盘文件中生成“incaseformat.txt”文件。用户重启电脑之后,会将被隐藏的文件彻底删除。
注意:请如果已经中病毒用户,不要重启电脑,不要重启电脑,不要重启电脑。先清理病毒同时将被隐藏的文件拷贝出来,然后再操作重启电脑。
病毒相关信息如下:
【恶意程序家族】:incaseformat
【关键字】:#incaseformat.txt #tsay.exe #ttry.exe
【家族详情】:病毒类型:蠕虫
传播方式:
1. U盘隐藏正常文件夹,并替换为同名样本母体
行为特征:
1. 先隐藏C盘以外的盘符数据,重启之后再删除相关被隐藏文件,释放文件incaseformat.txt
2. 拷贝副本至C:\windows\ttry.exe、C:\windows\tsay.exe(文件名可能会变化)
3. 注册表创建启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
处置建议:
1. 使用U盘前使用天擎进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。同时对全网终端进行全盘扫描。
2. 天擎qowl引擎支持检出,正常情况实时防护、病毒扫描都可以检出。建议将病毒库更新到最新。或者将以下MD5+SHA1添加鉴定中心或控制中心黑名单。
3. 如果不慎感染用户,已经安装天擎用户检查一下信任区,查看是否有被信任的病毒文件,清理信任区之后进行全盘扫描。尚未安装的天擎的用户,可以安装天擎,并对系统进行全盘扫描,并清除病毒。
4、如果感染之后没有重启电脑的用户,清理完病毒之后,先将C盘以外盘符中被隐藏的文件,从磁盘拷贝出来后再重启电脑。如果已经被重启的终端,清理完病毒之后尝试使用第三方数据恢复工具恢复文件;
相关MD5+SHA1(注意该样本变化较多):
1071d6d497a10cef44db396c07ccde65+71aa3a0af1eda821a1deddf616841c14c3bbd2e3
下面是深信服查杀工具
1、 不要随意下载安装未知软件,尽量在官方网站进行下载安装;
2、 尽量关闭不必要的共享,或设置共享目录为只读模式;深信服EDR用户可使用微隔离功能封堵共享端口;
3、 严格规范U盘等移动介质的使用,使用前先进行查杀;
4、 如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。
该病毒由于病毒作者在编写过程中,错误计算了系统时间,导致其删除文件的操作直到今天(2021年1月13日)才被触发,而其下一次被触发删除操作的时间则是本月23日。
注意:此病毒并非近期出现的新病毒,由于其伪装成文件夹的图标,易造成用户误认为是正常文件,从而对杀毒软件的报警选择忽略或者信任放行:
如果您的文件不幸已被病毒删除掉,只能使用数据恢复软件(安全卫士功能大全;毒霸百宝箱——数据恢复),找回丢失的文件:
病毒样本