警惕incaseformat蠕虫,可大批量删除磁盘文件

发布者:李雪娇发布时间:2021-01-14浏览次数:179

近期发现有多区域用户被 incaseformat 蠕虫感染,蠕虫运行后会批量删除磁盘文件。用户可先尝试进行数据恢复进行止损。

 

简要分析

样本会自我复制到%SystemRoot%目录下,并重命名为重新命名为tsay.exettry.exe,并且会添加注册表项l HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\Curr

entVersion\RunOnce\msfsa增加自启动,自启动程序指向 C:\windows\tsay.exe

 

同时还会复制自身到除系统分区以外所有分区的根目录下,将分区下已存在的文件夹隐藏,并且以这些文件夹的名称命名。这也是传播扩散的主要方式。

 

 

并且还会强行篡改注册表,导致系统中的显示系统隐藏文件功能失效,这样就无法查看文件后缀,以文件夹图标迷惑用户。

 

样本在特定时间条件下最终会遍历删除系统盘符外的所有文件,并且在根路径下留下incaseformat.log 文件

 

这个暴力删除操作,样本是会判断时间的,原先设定为大于 2009 年的大于 3 月的每个月的 1 号、10 号、21 号、29 号进行,而这里由于蠕虫病毒代码编写出现了一点的问题,导致判断时间出现了偏差,导致原先应该早就爆发的暴力删除操作,推迟到今天才执行。

 

实际上已经存在很久,观察样本至少在 14 年就已经存在。

 

并且发现国内一些站点也存在被感染,同时文件能够被传播下载的情形。

 

【防御建议】

安装杀毒软件,并定期进行杀毒。