壹定发

最新资讯 最新资讯
最新资讯
智领工业AI前沿?
LEADING THE INDUSTRIAL AI
Incaseformat病毒来袭?????中控supCERT教你怎样应对!
2021-01-15

2021年1月13日,,一种名为incaseformat的蠕虫病毒在天下各地爆发,,浙江壹定发工控网络清静应急响应中心supCERT也接到客户反映磁盘文件被清空,,疑似中了该病毒,,并有多个客户咨询中控清静防护产品能否防御此次爆发的病毒,,supCERT清静工程师获得样本后第一时间对病毒举行剖析 。。。。。。

Incaseformat病毒来袭?????中控supCERT教你应对

病毒机理剖析

样本文件名: tsay.exe/ttry.exe

文件巨细: 496640 字节

MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E

SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA

CRC32: AFE5FF81

210114jswx1.png

图1 病毒详情

210114jswx2.png

图2 病毒文件

该病毒使用delphi编写,,病毒会伪装为文件夹图标,,熏染病毒后,,病毒会将自身复制到C:Windows目录下,,并建设注册表自启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

210114jswx3.png

图3 自身复制

210114jswx4.png

图4 写注册表自启动

当病毒在C:Windows目录下运行时,,会修改注册表禁用显示隐藏文件,,并判断系统时间,,知足条件时遍历磁盘,,删除除C盘外的所有文件,,并在根目录留下incaseformat.log文件 。。。。。。

210114jswx5.png

图5 修改注册表

210114jswx6.png

图6 删除文件天生incaseformat.log

值得注重的是作为一个老病毒,,由于使用了delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值过失,,最终导致 DecodeDate 盘算转换出的系统目今时间过失,,直到2021年1月13日才触发了删除文件的代码逻辑,,导致大规模爆发 。。。。。。该病毒设定的删除日期不止1月13日,,距离最近的下一次删除时间为1月23日 。。。。。。若是用户电脑中尚有残留的病毒,,将面临再次被删除的风险 。。。。。。


解决方案

Incaseformat病毒来袭?????中控supCERT教你应对

经supCERT验证,,该病毒不具备网络撒播的功效,,主要是通过USB等装备撒播且只有在C:Windows目录下运行时才会执行删除文件等恶意操作,,而重启电脑则是导致其执行恶意操作的主要途径 。。。。。。

若发明 C:Windows目录下保存名为tsay.exe/ttry.exe的病毒文件,,可以直接删除病毒文件,,在删除之前请不要重启电脑 。。。。。。然后排查注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce是否保存病毒的自启动项 。。。。。。

履历证,,在装置了中控主机清静卫士VxDefender的电脑上开启白名单防护功效,,并确认白名单列表中未包括tsay.exe和ttry.exe文件,,则无论重启或是直接双击运行C:Windows目录下的病毒文件,,都可以乐成阻挡incaseformat病毒 。。。。。。

210114jswx7.png

图7 主机清静卫士主界面

210114jswx8.png

图8 程序白名单阻挡提醒

210114jswx9.png

图9 程序白名单阻挡提醒

210114jswx10.png

图10 程序白名单阻挡日志

中控主机清静卫士专业版VxDefender Pro已内置黑名单杀毒引擎,,可使用病毒查杀功效乐成查杀隔离该病毒,,有用地包管工业主机的清静稳固运行 。。。。。。

210114jswx11.png

图11 主机清静卫士专业版病毒查杀功效

Incaseformat病毒来袭?????中控supCERT教你应对

清静建议

Incaseformat病毒来袭?????中控supCERT教你应对

1. 不要下载或点击未知泉源的文件

2. 严酷规范U盘等移动存储装备的使用

3. 装置杀毒软件,,按期举行扫描杀毒

4. 装置主机清静防护产品


新闻推荐

Hi~我是智小控
有什么可以资助您?????

咨询留言
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站
咨询留言
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
  • 壹定发(中国集团)官方网站 壹定发(中国集团)官方网站 *
【网站地图】
Incaseformat病毒来袭?????中控su