incaseformat 病毒 23號恐將再次發作,請注意防范！

事件描述

1月13日，“incaseformat”蠕蟲病毒暴力刪除磁盤文件，引起了不少用戶對電腦安全的恐慌。此次蠕蟲病毒，不僅偽造了文件夾圖標、隱藏原始文件夾，還設置了定時刪除文件的邏輯。除了1月13日，此病毒通過定時器還設定了多個時間段，后續執行刪除文件的時間為1月23日、2月4日等日期。

分析

據了解，該蠕蟲病毒在非Windows目錄下執行時，并不會產生刪除文件行為，但會將自身復制到系統盤的Windows目錄下，創建RunOnce注冊表值設置開機自啟，且具有偽裝正常文件夾行為：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　值: C:\windows\tsay.exe

　　當蠕蟲病毒在Windows目錄下執行時，會再次在同目錄下自復制，并修改如下注冊表項調整隱藏文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

　　最終遍歷刪除系統盤外的所有文件，在根目錄留下名為incaseformat.log的空文件。情況看似簡單，但令人不解的是，該蠕蟲是通過什么方式進行傳播的呢？又為何會集中爆發？經過安全專家對病毒文件和威脅情報的詳細分析，有了新的發現。該蠕蟲病毒由Delphi語言編寫，最早出現于2009年，此后每年都有用戶在網絡上發帖求助該病毒的解決方案。

　　正常情況下，該病毒表現為一種文件夾蠕蟲，和其他文件夾蠕蟲病毒一樣，通過文件共享或移動設備進行傳播，并會在共享目錄或移動設備路徑下將正常的文件夾隱藏，自己則偽裝成文件夾的樣子。

　　年份>2009，月份>3，日期=1 或 日期=10 或 日期=21 或 日期=29

　　即2009年后，每個大于3月的1號、10號、21號和29號時會觸發刪除文件操作。

　　然后通過DecodeDate函數拆分日期，奇妙的是，該程序中的Delphi庫可能出現了錯誤，DateTimeToTimeStamp用于計算的一個變量發生異常：

　　導致轉換后的時間與真實的主機時間并不相符，因此真實觸發時間與程序設定條件不相同（原本2010年愚人節的啟動時間，錯誤轉換成了2021年1月13日，本次病毒爆發可能是遲到的愚人節玩笑）：

分析人員計算隨后會觸發刪除文件操作的日期為，2021年1月23和2月4號：

　　由于文件夾蠕蟲感染后沒有給主機帶來明顯的損失，大多數用戶都會疏于防范，且文件蠕蟲主要通過文件共享和移動設備傳播，一旦感染后容易快速蔓延內網，很多此次爆發現象的主機可能在很早前就已經感染。還有一些主機已經潛伏該病毒用戶很可能會在2021年1月23和2月4號被刪除數據。

防范建議：

　　若主機未出現感染現象（其他磁盤文件還未被刪除）：

　　1、不隨意重啟主機，先使用安全軟件進行全盤查殺，并開啟實時監控等防護功能；

　　2、 不隨意下載安裝未知軟件，盡量在官方網站進行下載安裝；

　　3、 盡量關閉不必要的共享，或設置共享目錄為只讀模式；深信服安全團隊提到深信服EDR用戶可使直接用微隔離功能封堵共享端口；

　　4、 嚴格規范U盤等移動介質的使用，使用前先進行查殺；

　　5、 重要數據做好備份；

　　若主機已出現感染現象（其他磁盤文件已被刪除）則：

　　1、 使用安全軟件進行全盤查殺，清除病毒殘留；

　　2、 可嘗試使用數據恢復類工具進行恢復，恢復前盡量不要占用被刪文件磁盤的空間，由于病毒操作的文件刪除并沒有直接從磁盤覆蓋和抹去數據，可能仍有一定幾率進行恢復；