当前位置: 首页 - 网络安全

关于近期爆发的incaseformat病毒事件的安全预警

日期:2021-01-14     来源:信息管理中心

各二级教学单位,处、室、广大师生:

近日,国内专网大面积爆发新型病毒(incaseformat病毒),计算机感染后该病毒除系统盘(C盘)外,其他盘均被格式化。因感染细节及预防查杀方法尚未明确,请各二级教学单位,处、室、广大师生及时做好重要数据备份,不要接入U盘及点击不明文件。计算机终端如发现感染应立即断网(禁用计算机网卡或拔掉网线),请勿进行关机或重启操作。

一. 事件分析

2021年1月13日,深信服安全团队收到多起 incaseformat 蠕虫事件反馈,已有多个用户感染一种名为 incaseformat (文件名可能为 ttry.exe 或 tsay.exe)的蠕虫病毒,病毒在 windows 目录下运行时会删除 C 盘目录外的所有文件,当前已影响多个区域和行业用户,并具有爆发趋势。同日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat 病毒,涉及政府、医疗、教育等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为 incaseformat.log 的空文件,因此网络上将此病毒命名为 incaseformat。


二. 病毒分析

根据绿盟科技的资料显示,从搜索引擎结果来看,该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。病毒文件运行后,首先复制自身到 Windows 目录下(C:\windows\tsay.exe),文件图标伪装为文件夹。同时修改注册表键值实现自启动,涉及注册表项为:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa。病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件。

此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

最后对非系统分区下所有文件执行删除操作,并创建 incaseformat.log 文件。

已知样本 MD5:4B982FE1558576B420589FAA9D55E81A、1071D6D497A10CEF44DB396C07CCDE65


三. 感染分析

根据绿盟科技的资料显示,该病毒由于编写时对某时间判断变量赋值错误,导致在2021年1月13日才触发并执行删除文件的代码逻辑,实际该病毒可能被感染主机上驻留多年,但由于缺少主机防病毒软件或白名单设置错误等原因,一直未能被发现。由于病毒本身只能通过 U 盘等移动介质进行传播,并无相关网络传播特征,此次在国内多个行业出现大规模感染事件,猜测可能与相关应用系统的供应链或厂商运维有关,如:软件分发、更新升级、远程运维等,具体传播途径还需做进一步溯源分析。


四. 处置建议

1. 排查主机 Windows 目录下是否存在图标为文件夹的 tsay.exe 文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。

2. 数据恢复切记对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius 等)即可恢复被删除数据。(注意:此操作具有危险性,操作不当会造成数据丢失,请谨慎操作,或请专业人员处理。)

3. 由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:

1)通过任务管理器结束病毒相关进程(ttry.exe)

2)删除 Windows 目录下驻留文件 tsay.exe 和 ttry.exe 及注册表相关启动项(RunOnce)

3)恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项

4. 使用优盘、移动硬盘等外部存储设备前,关闭“自动播放”功能,且对外接存储设备先进行扫描再使用。