今天有较多网友及政企机构用户反应遭遇“incaseformat”病毒攻击,硬盘除C盘外,其他分区文件被删除,仅保留一个名为“incaseformat.log”的0字节文件。腾讯安全专家分析后发现,这是一个很古老的蠕虫病毒。腾讯iOA、腾讯御点、腾讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文件恢复的概率也较高。
图1
该病毒在非Windows 目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自启动,拷贝自身到windows目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe),同时设置注册表runonce的msfsa项。
图2
当病毒在windows 目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe)运行时,会修改注册表不显示隐藏属性的文件,最后会遍历磁盘,删除所有除系统盘之外的文件,只在硬盘根目录留下名为incaseformat.log的空文件。
图3
该病毒出现很早,同源变种样本也有数百个之多。腾讯零信任无边界访问控制系统(iOA)、腾讯御点、腾讯电脑管家及其他主流杀毒软件均可查杀。用户只要开启杀毒软件的实时防护即可有效防御。当病毒改写注册表的启动项时,安全软件也会报警。
腾讯安全专家表示,因该病毒采用文件夹的图标,会使一部分用户误认为是正常软件,而将杀毒软件的防护功能关闭,或者将病毒添加到信任白名单里,最终在这些用户的系统上会造成病毒发作文件被删除。
由于病毒代码设置变量值的错误,导致病毒计算当前系统时间出错,因而在2021年1月13日触发删除文件等操作(下一次发作是1月23日)。之所以用户电脑的安全软件未作出响应,可能是用户错误地将病毒文件添加为信任白名单所致。
腾讯安全建议用户勿轻易判定安全软件的警告为误报,勿轻易将可疑文件添加到信任白名单,可避免受害。如果已有用户不幸中招,可以在清除病毒之后,使用文件恢复工具将被删除的文件还原,只要用户未做较多的文件覆盖操作,恢复成功的概率较大(SSD硬盘例外,因存储机制不同,删除后难以恢复。)
图4
NetworkShine