高危!incaseformat 蠕蟲病毒來襲,小心文件被刪除
病毒名稱:incaseformat
病毒性質:蠕蟲病毒
影響范圍:多省市多行業發現感染案例,有規模爆發趨勢
危害等級:高危,可導致用戶數據丟失
近日,360安全大腦檢測到蠕蟲病毒incaseformat大范圍爆發, 該蠕蟲病毒執行后會自復制到系統盤Windows目錄下,并創建注冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執行,病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。
目前,已發現國內多個區域不同行業用戶遭到感染,病毒傳播范圍暫未見明顯的針對性。
病毒描述
經分析,該蠕蟲病毒在非Windows目錄下執行時,并不會產生刪除文件行為,但會將自身復制到系統盤的Windows目錄下,創建RunOnce注冊表值設置開機自啟,且**具有偽裝正常文件夾行為**:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
當蠕蟲病毒在Windows目錄下執行時,會再次在同目錄下自復制,并修改如下注冊表項調整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:
解決方案
由于該病毒只有在Windows目錄下執行時會觸發刪除文件行為,重啟會導致病毒在Windows目錄下自啟動,因此,建議廣大用戶在未做好安全防護及病毒查殺工作前 請勿重啟主機:
若發現帶有文件夾圖標的EXE文件,除非知道該文件的來源,否則不要打開;
調整文件夾選項,將“隱藏已知文件的擴展名”選項的對勾去掉,避免被惡意文件夾圖標迷惑;
禁止U盤自動運行,關閉U盤自動播放;
打開系統自動更新,并檢測更新進行安裝;
請到正規網站下載程序;
不要點擊來源不明的郵件以及附件,郵件中包含的鏈接;
采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;
盡量關閉不必要的端口及網絡共享;
請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。
如發現已感染主機,先斷開網絡,使用安全產品進行全盤掃描查殺再嘗試使用數據恢復類軟件。
