Incaseformat病毒來襲?中控supCERT教你如何應對!

來源: 中控 時間: 2021-01-14 作者:

2021年1月13日,一種名為incaseformat的蠕蟲病毒在全國各地爆發,浙江中控技術股份有限公司工控網絡安全應急響應中心supCERT也接到客戶反映磁盤文件被清空,疑似中了該病毒,并有多個客戶咨詢中控安全防護產品能否防御此次爆發的病毒,supCERT安全工程師得到樣本后第一時間對病毒進行分析。

Incaseformat病毒來襲?中控supCERT教你應對

病毒機理分析

樣本文件名: tsay.exe/ttry.exe

文件大小: 496640 字節

MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E

SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA

CRC32: AFE5FF81

210114jswx1.png

圖1 病毒詳情

210114jswx2.png

圖2 病毒文件

該病毒使用delphi編寫,病毒會偽裝為文件夾圖標,感染病毒后,病毒會將自身復制到C:\Windows目錄下,并創建注冊表自啟動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

210114jswx3.png

圖3 自身復制

210114jswx4.png

圖4 寫注冊表自啟動

當病毒在C:\Windows目錄下運行時,會修改注冊表禁用顯示隱藏文件,并判斷系統時間,滿足條件時遍歷磁盤,刪除除C盤外的所有文件,并在根目錄留下incaseformat.log文件。

210114jswx5.png

圖5 修改注冊表

210114jswx6.png

圖6 刪除文件生成incaseformat.log

值得注意的是作為一個老病毒,因為使用了delphi庫中的 DateTimeToTimeStamp 函數中 IMSecsPerDay 變量的值錯誤,最終導致 DecodeDate 計算轉換出的系統當前時間錯誤,直到2021年1月13日才觸發了刪除文件的代碼邏輯,導致大規模爆發。該病毒設定的刪除日期不止1月13日,距離最近的下一次刪除時間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的風險。


解決方案

Incaseformat病毒來襲?中控supCERT教你應對

經supCERT驗證,該病毒不具備網絡傳播的功能,主要是通過USB等設備傳播且只有在C:\Windows目錄下運行時才會執行刪除文件等惡意操作,而重啟電腦則是導致其執行惡意操作的主要途徑。

若發現 C:\Windows目錄下存在名為tsay.exe/ttry.exe的病毒文件,可以直接刪除病毒文件,在刪除之前請不要重啟電腦。然后排查注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce是否存在病毒的自啟動項。

經驗證,在安裝了中控主機安全衛士VxDefender的電腦上開啟白名單防護功能,并確認白名單列表中未包含tsay.exe和ttry.exe文件,則無論重啟或是直接雙擊運行C:\Windows目錄下的病毒文件,都可以成功攔截incaseformat病毒。

210114jswx7.png

圖7 主機安全衛士主界面

210114jswx8.png

圖8 程序白名單攔截提示

210114jswx9.png

圖9 程序白名單攔截提示

210114jswx10.png

圖10 程序白名單攔截日志

中控主機安全衛士專業版VxDefender Pro已內置黑名單殺毒引擎,可使用病毒查殺功能成功查殺隔離該病毒,有效地保證工業主機的安全穩定運行。

210114jswx11.png

圖11 主機安全衛士專業版病毒查殺功能

Incaseformat病毒來襲?中控supCERT教你應對

安全建議

Incaseformat病毒來襲?中控supCERT教你應對

1. 不要下載或點擊未知來源的文件

2. 嚴格規范U盤等移動存儲設備的使用

3. 安裝殺毒軟件,定期進行掃描殺毒

4. 安裝主機安全防護產品


分享
在線咨詢
電話咨詢
400-8876000
男女男视频