近日,深信服安全团队检测到一种名为incaseformat的病毒,全国多个地区均出现被incaseformat病毒删除文件的用户。经查,该蠕虫一般表现为文件夹蠕虫。执行后会把自己复制到系统盘的Windows目录下,并创建一个注册表自动启动。一旦用户重启主机,病毒母体就会从Windows目录执行,病毒进程会遍历除系统盘以外的所有磁盘文件进行删除,给用户造成不可挽回的损失。病毒在1月13日爆发,是因为病毒代码中内置了一些特殊的日期。匹配到相应的日期后,就会触发蠕虫的文件删除功能。蠕虫爆发的用户感染时间应该早于1月13日。据分析推测,下一次触发删除文件的时间大约在2021年1月23日和2月4日。为此,深信服免费提供杀毒工具incaseformat,帮助用户查杀incaseformat。据了解,该蠕虫在非Windows目录下执行时,不会删除文件,而是将自身复制到系统盘的Windows目录下,创建一个RunOnce注册表值设置自动启动,并有一个变相的正常文件文件夹行为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa值:C:\windows\tsay.exe当蠕虫在Windows目录下执行时,它会在同一目录下再次自我复制并修改以下注册表项调整隐藏文件:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt->0x1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue->0x0Final遍历删除系统盘外的所有文件,在根目录下留下一个名为incaseformat.log的空文件。情况看似简单,但令人费解的是蠕虫是如何传播的?为什么会集中爆发?经过深信服安全专家对病毒文件和威胁情报的详细分析,有了新的发现。该蠕虫病毒使用Delphi语言编写,2009年首次出现,此后每年都有用户在网上发帖求解。在正常情况下,该病毒表现为文件夹蠕虫。与其他文件夹蠕虫一样,它通过文件共享或移动设备传播,将普通文件夹隐藏在共享目录或移动设备路径中。假装是一个文件夹。然而,与其他文件夹蠕虫不同的是,incaseformat蠕虫在其代码中内置了一个“定时炸弹”。蠕虫会获取被感染主机的当前时间。程序获取时间后,与指定时间进行比较,当条件为:年>2009年,月>3日,日期=1或日期=10或日期=21或日期=29时,即2009年以后,每大于3月1日、10日、21日和29日的日期会触发删除文件操作。然后使用DecodeDate函数拆分日期。奇葩的是,程序中Delphi库可能有错误,DateTimeToTimeStamp用于计算的一个变量异常:转换后的时间与真实主机时间不匹配,所以与真实触发时间不一样如程序设置条件(原2010年愚人节上线时间被误转换为2021年1月13日,本次病毒爆发可能是迟来的愚人节笑话):分析师计算后将触发删除文件运行日期为2021年1月23日和2月4日:由于文件夹蠕虫感染并没有对主机造成明显的损害,所以大部分用户都会疏忽,文件蠕虫主要通过文件共享和移动设备传播,一旦感染,就是容易迅速传播到内网,而且这次爆发的很多主机可能早就被感染了。还有一些宿主已经潜伏了病毒。用户可能会在2021年1月23日和2月4日删除他们的数据。对此,深信服安全团队也针对该蠕虫向用户提出了防范建议:如果主机没有被感染(其他磁盘文件未被删除):1.不要随意重启主机,首先使用安全软件进行全盘扫描,并开启实时监控等保护功能;2、不要随意下载安装不明软件,尽量从官网下载安装;3、尽量关闭不必要的共享,或将共享目录设置为只读模式;深信服安全团队提到深信服EDR用户可以直接使用微隔离功能来屏蔽共享端口;4、严格规范U盘等移动介质的使用,使用前查杀;5、做好重要数据的备份;如果主机已被感染(其他磁盘文件已被删除):1、使用安全软件对整个磁盘进行扫杀,清除病毒残留;2、可以尝试使用数据恢复工具进行恢复,恢复前尽量不要占用被删除文件的磁盘空间。病毒操作删除的文件数据不是直接从磁盘上覆盖擦除,仍有一定的恢复机会;深信服还为广大用户提供了免费的扫码查杀工具。可以下载以下查杀工具:64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z同时,深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级到最新版本,连接安全云脑,使用云端搜索服务,及时发现并防御新的威胁。最后再次提醒各位用户,安全无小事,重要数据一定要做好备份。对于还没有部署备份方案的用户,深信服企业级备份一体机可以帮助用户防患于未然,守住数据安全的“最后一道防线”!
