incaseformat病毒处置

0X00 事件概况

    昨天下午被incaseformat这个老病毒刷了一波存在感，C盘以外的盘符文件均被删除，仅保留了一个名为“incaseformat.log”的空文件。

0X01 样本分析

    样本由Delphi进行编写，基本情况如下：

文件名	tsay.exe
文件大小	460,288 KB
文件MD5	1071d6d497a10cef44db396c07ccde65
文件SHA1	71aa3a0af1eda821a1deddf616841c14c3bbd2e3
文件SHA256	c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929
文件CRC	07f3732f
文件类型	exe

    样本确实是一个老样本，在VT上可以查到的提交历史可以追溯到2013-03-19。

         一个老病毒，现在才发作的主要原因是本来样本是通过判断获取的时间，如果年份大于0x7d9(2009)，月份大于3，日期为1，10，21，29，则触发相关的操作。

       但是程序在转换时间的过程中使用DateTimeToTimeStamp 函数，这个函数所依赖的MSecsPerDay变量值有误，导致获取的系统时间错误。2021年1月13日被程序错误的计算为2010年4月1日，首次触发设置的时间炸弹。

        样本的恶意行为也比较简单：

     1.复制自己

    2.设置相关的隐藏属性及启动项

设置注册表启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce  键值msfsa 值为C:\windows\tsay.exe

    3.遍历除了C盘以外的盘符，删除磁盘上的文件

        之后生成一个0kb的incaseformat.log文件

0X02 现象排查

        病毒样本相对比较简单，从以下几个方面可以简单排查是否中毒。

        1.磁盘被清空，磁盘内存在incaseformat.log文件。

       

        2.进程中存在ttry.exe进程。

           3.C盘windows目录下存在ttry.exe和tsay.exe程序。

        4. 注册中的启动项中存在键值为msfsa的启动项。

 

0X03 病毒处置

1.结束ttry.exe进程。

 

2.删除相关的样本文件。

 

    C:\windows\tsay.exe

    C:windows try.exe

 

3.删除相关的注册表启动项。

注册表位置：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

 

4.尝试进行数据恢复。

        由于病毒程序对磁盘进行了删除操作，在不重启的条件下，恢复的概率要大一些，恢复的内容要多一些，所以在中毒后，不要重启或关机。可以使用R-Studio、DiskGenius、PuranFileRecovery等数据恢复软件恢复大部分文件。下图是实验的结果，不重启的情况下，可以恢复大部分文件，一定概率可以完全恢复。

 

 

0X04 病毒防护措施

 

1. 提高安全意识，使用U盘前用杀毒软件进行病毒扫描后再使用；也可以通过管控功能禁止不明移动存储设备进入内网。

2. 安装杀软并进行更新（病毒较老，一般杀软都能进行查杀）。

 

0X05 IOC

 

 

目前收集的病毒文件Md5值

4b982fe1558576b420589faa9d55e81a

1071d6d497a10cef44db396c07ccde65

915178156c8caa25b548484c97dd19c1

97569a91067bcec8539592dc0cbd0bc0

3faaf23746fdfd611ee5c9637f827880

722e62305ad58e326a932b24359fdc0e

99139acb7ce08c0a909298c9384481e7

b3a82d7dc378b4c4826985b29fd7bd81

451e01299c11d63c07d5dc1b766a15e8

01838e9dde5804dcb082568c7187de93

1eb13495bc898625fa933037678ba109

dc4b6ce35dad889d81fc90999245052f

f7ab80e1f34a9b404b2493afe481f15d

4510511224001df92441d963ed155568

413799fb41ce1ca31ec694a77090e3cb

82fdde48b6947bc40034f72222d0a458

0846f9a43c5ee0df29b6ff9a2f212e7f

fb926306e22f66b02832a64023ed658c

f5ae828a59481eba69ff61aba341ebb1

683accc8be875f6ab8289ea1d86038c1

77cb0524cd4c9f84603edbf84511ad48

53485bc9bd363831f4d92ed628520746

35cdf9a8c8b8a1c50cb3d571160ad267

647ad17021eb5670678e0f34823137b8

a55b25e6439d07cc8f12c4a3215eedc8

044a13bbb2d6d42ee542a5b78ac43012

f46d1436d98c456be1bdf7fd0ea3949f