声明:以上信息均来自互联及各个安全厂商,个人仅是收集和整理,方便大家参考。
病毒名称: incaseformat
针对系统:Windows操作系统
传播途径: U盘 、共享文件夹、写入开机注册表
危害:目前已知,创建伪文件快捷方式(.exe格式),图标文件夹样式,重启后会在非系统盘留下一个incaseformat.txt,并删除其他所有文件!
# 中招后非系统盘截图
# 中毒文件夹和正常文件夹对比
# 中毒后仅系统盘数据保留(为了病毒程序能正常运行?)
有待验证:目前数据恢复只能恢复垂直记录技术(PMR)和机械硬盘,现在新款的叠瓦式硬盘(SMR)机械硬盘和SSD固态硬盘这种病毒破坏力可以说目前无解。
病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件。
病毒产生的相关目录或注册表:
# C盘系统目录下
# 相关文件及路径
C:WINDOWS say.exe
C:windowssystem32 try.exe
incaseformat.log
incaseformat.txt
# 注册表键值添加和修改
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfs
通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtcheckedvalue
# 任务管理器进程
排查思路:
1. 确认用户端 2021-01-13日或近期是否有使用过U盘(自查,并反馈上报到ISC)
2. 是否电脑在插U盘提示过病毒(自查,并反馈上报到ISC)
3. 查看杀毒软件后台数据是否有,类U盘快捷方式病毒(ISC处理)
解决方法:
1.所有电脑确认安装杀毒软件并且是否正常运行或者病毒库有无过期(员工自查)
2.及时对特别重要数据进行备份(员工自行处理)
3.对所有设备进行安全扫描检查,关闭涉及到的电脑本机、服务器本机、网络设备、安全设备的135-139、445等高危端口; (ISC会进行全网扫描)
4.使用U盘等外设前,使用安全软件关闭自动播放功能,且对外接设备进行扫描后再继续使用;
5.如果已经中毒,电脑一定不要重启,如若重启数据将会丢失!需及时向ISC进行反馈,我们将协助解决。
4. 如果有此情况,尝试F8 安全模式启动,使用三方工具或者查询有无病毒产生的注册表信息或者文件
其他三方相关资讯或工具参考:
# incaseformat病毒解决方法
2020-05-27 22:38:36
# 杀病毒经验 工具 思路
https://blog.csdn.net/weixin_45367061/article/details/106389290
# 绿盟
2021-01-13
# 信息
http://blog.nsfocus.net/incaseformat/
https://www.nsfocus.com.cn/html/2021/39_0113/1025.html
# 火绒资讯
2021-01-13
# 信息
该蠕虫病毒早在2014年就已经被火绒入库
https://www.huorong.cn/info/1610535542569.html
https://www.huorong.cn/info/1592903917489.html
# 深信服资讯
2021-01-13
# 工具 信息
https://mp.weixin.qq.com/s/4i5JErLkSCf6hV8mPIWUmw
# 360安全
2021-1-13 22:41
# 信息
https://bbs.360.cn/forum.php?mod=viewthread&tid=15952432
https://bbs.360.cn/thread-15952254-1-1.html
# 腾讯安全
2021-01-13 22:30:59
# 腾讯iOA、御点、管家都能杀,文件也能恢复
https://s.tencent.com/research/report/1225.html
# 效率源科技
2021-1-14
# 被删除的数据是可以恢复
http://xlysoft.net/detail/7-84-2836.html
# 安全客
2021-01-14 10:15:47
# 信息
https://www.anquanke.com/post/id/228621
# 广东省网络安全应急响应平台
2021-01-14
# 信息 经验 工具
https://mp.weixin.qq.com/s/qAIzFhDbWt2OMl2-0XOdVA
# 目前发现较早的记录
# 2011-12-31 14:15:20
http://blog.sina.com.cn/s/blog_670ae5e90100zuwl.html
# 2009-05-14