1 月 13 日晚,360、深服气等平安公司公布了紧急预警,称监测到蠕虫病毒 incaseformat 大范畴暴发,已有多家公司产生磁盘数据被删事件。
该蠕虫病毒次要通过 U 盘流传,感化用户机器后会通过 U 盘自我复制感化到其余电脑。病毒启动后会主动复制到 C:WINDOWStsay.exe,待计算机重新启动后在开机 20s 内删除用户数据。
据平安监测机构预计,incaseformat 蠕虫病毒可能会在 1 月 23 日再次暴发,倡议用户提前做好预防数据失落的防备工作。
蠕虫病毒大范畴暴发,开机 20s 删除用户文件
平安监测机构剖析发现,该蠕虫病毒是通过 DeleteFileA 和 RemoveDirectory 代码对计算机内的文件进行了删除。该病毒还能主动复制到 C:WINDOWStsay.exe 创立启动项后退出,计算机再次启动后会在开机 20s 开始删除用户文件。
据理解,这曾经不是该蠕虫病毒第一次暴发了,早在 2014 年就产生过相似事件。
目前,国内已有多个地区的不同行业用户受到该蠕虫病毒影响,但临时还没发现该病毒具备何种流传范畴的针对性。
病毒只在 Windows 目录下运行
据深服气平安钻研团队介绍,该蠕虫病毒只有在 Windows 目录下执行时,才会触发删除文件行为。在非 Windows 目录下执行时,病毒会主动复制到系统盘的 Windows 目录下,创立 RunOnce 注册表值设置开机自启,并将本人伪装成失常文件。
当蠕虫病毒在 Windows 目录下执行时,会再次在同目录下自复制,并批改如下注册表项调整暗藏文件:
遍历删除系统盘外所有的文件后,该蠕虫病毒会在根目录留下名为 incaseformat.log 的空文件:
专家公布平安倡议:
incaseformat 蠕虫病毒大范畴暴发后,多家平安机构曾经紧急公布了病毒扫描版本反对检测计算机的病毒。
平安专家建议,如果计算机内已有病毒感染,应立即断开网络,并应用杀毒软件进行全面查杀,可尝试应用数据恢复软件进行数据恢复。
平安倡议:
- 不要关上未知起源文件;
- 不要下载安装非官方网站的软件;
- 不要抉择“暗藏已知文件的扩展名”;
- 禁止 U 盘主动运行;
- 应用高强度明码并定期更换;
- 留神备份重要文件。