安全预警｜incaseformat病毒应急处理方案

Sayings

1月13日，incaseformat病毒大范围爆发，山石网科安全技术研究院迅速对此病毒进行分析，给出安全建议。

据多个客户反映在1月13日蠕虫病毒FakeFolder大范围爆发，病毒感染用户机器后会通过U盘等移动存储介质自我复制感染到其他电脑。被感染的电脑除C盘之外的其他磁盘文件都会被删除，且磁盘中可能被创建“incaseformat”文本文档！病毒没有网络传播性，不必恐慌。最早出现在几年前，一般没有安装杀毒软件的电脑才会中招，国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

incaseformat病毒1月13日发作，具备定时删除文件的能力，会在特定时间定时发作。大部分的杀毒软件产品都早已支持此病毒的拦截和查杀，但可能因故障环境中都存在病毒文件被加入到信任区，导致病毒文件不能被及时查杀。1月13日是“病毒发作事件”，不是“病毒传播事件”。这个病毒类似“定时炸弹”，如果在机器中潜伏，会1月13日发作。

关于病毒信息

【恶意程序家族】

incaseformat

【关键字】

#incaseformat.txt、#tsay.exe、#ttry.exe

【家族详情】

病毒类型：蠕虫

传播方式：U盘隐藏正常文件夹，并替换为同名样本母体

行为特征：

运行后拷贝副本至C:\windows\tsay.exe、C:\windows\ttry.exe

创建注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa  C:\windows\tsay.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

重启后启动项中的母体文件运行，并删除系统盘以外盘符所有文件，然后释放大小为0kb的文件incaseformat.txt。

安全建议

1.提高员工安全意识，使用U盘前用杀毒软件进行病毒扫描后再使用；也可以通过管控功能禁止不明移动存储设备进入内网。

2.提升内网杀毒软件覆盖率，确保主要终端和服务器均安装有杀毒软件，并定期更新病毒库到最新。

3.对于不慎感染的终端，使用杀毒软件进行全盘查杀。查杀前确认信任区是否不明文件，清理信任区之后再进行全盘扫描，待杀毒完成后，可尝试使用专业数据恢复工具或寻找第三方数据恢复公司进行数据恢复。

4.该病毒只在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动。

5.不要随意下载安装未知软件，尽量在官方网站进行下载安装；尽量关闭不必要的共享，或设置共享目录为只读模式。

关于山石网科

山石网科是中国网络安全行业的技术创新领导厂商，自成立以来一直专注于网络安全领域前沿技术的创新，提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务，致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。

山石网科为金融、政府、运营商、互联网、教育、医疗卫生等行业累计超过18,000家用户提供高效、稳定的安全防护。山石网科在苏州、北京和美国硅谷均设有研发中心，业务已经覆盖了中国、美洲、欧洲、东南亚、中东等50多个国家和地区。

（文章配图源自网络）