• 關于防范利用U盤傳播且會刪除磁盤文件的Incaseformat蠕蟲病毒的通知

    發布者:戚騰飛發布時間:2021-01-13瀏覽次數:859

    各位師生,您好,

    近期接安全廠商通報,能夠利用U盤傳播且會刪除磁盤文件的Incaseformat蠕蟲病毒在較大范圍傳播中。根據目前獲取到的病毒危害描述,該病毒通過U盤或者郵件附件、網絡下載等途徑傳播,病毒會嘗試刪除感染計算機的非系統盤文件,因此具有明顯安全威脅。

    請廣大師生做好主機日常安全防護,養成良好的U盤和網絡下載習慣,注意重要數據的離線備份,避免感染Incaseformat蠕蟲病毒而造成數據損失。

    如果出現感染Incasesformat病毒情況,參考現有公開的應對措施,請不要重啟計算機,使用技術手段清理病毒并備份重要數據后再嘗試重新啟動。該病毒日常防護建議、感染后處置建議如下:


    日常防護建議:

    1、做好主機日常安全防護。安裝必要的防病毒軟件和安全防護軟件,及時升級操作系統補丁。

    2、養成良好的U盤和網絡下載習慣。嚴格規范U盤等移動介質使用,在使用移動介質前要先進行病毒木馬查殺;不要隨意下載安裝未知軟件,盡量在官方網站進行下載安裝;不隨意打開或運行未知來源的電子郵件附件,避免惡意郵件攻擊。

    3、注意重要數據的離線備份。規范重要數據存儲,定期做好重要數據備份并離線保存,供磁盤損壞或被惡意刪除后能夠及時恢復和保全。


    感染Incaseformat蠕蟲病毒的判定:

    根據公開信息,感染該病毒的計算機會彈出印尼語圖片,感染的蠕蟲文件名為tsay.exe,運行后復制自身到Windows系統目錄下并創建相應的自啟動的注冊表值:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

    Value: String: C:\windows\tsay.exe

    如果系統重新啟動,會創建并執行文件:c:\WINDOWS\ttry.exe

    刪除非系統磁盤的文件,并創建文件大小為0K,文件名為incaseformat.log的文件;同時復制病毒自身到D盤,并將病毒文件名命令為刪除的文件夾名。


    感染后處置建議:

    根據公開信息,該病毒只有啟動操作系統執行Windows目錄下相應命令時才會觸發刪除文件行為,因此在發現感染該病毒后請在進行病毒查殺和數據備份前不要重啟計算機。

    感染病毒后如沒有重啟:

    1、斷開主機網絡,使用干凈(如新格式化的)U盤從其他主機下載主流防病毒和安全防護軟件(如360、騰訊、天融信、瑞星等廠商產品)的最新版本(含病毒木馬特征庫),安裝和進行全盤病毒查殺。

    2、備份主機重要數據至移動存儲介質并離線保存后,再嘗試重新啟動計算機來驗證病毒查殺情況。

    感染病毒后已重啟:

    1、清除病毒。

    在任務管理器中結束進程ttry.exe和圖標為文件夾的進程;

    刪除病毒文件:c:\WINDOWS\ttry.exe c:\WINDOWS\tsay.exe

    刪除非系統盤根目錄中的incaseformat.log文件。

    2、使用R-Studio等數據恢復軟件進行文件恢復。


    信息化建設與網絡安全辦公室

    2021年1月13日


    相關信息來源:安天CERT、360網絡安全響應中心、深信服安全團隊


    成年片黄色电影大全 - 视频 - 在线观看 - 影视资讯 - 观赏网