概述:
自2021年1月13日上午開(kāi)始一種名為incaseformat的蠕蟲病毒在國(guó)內(nèi)爆發(fā),該蠕蟲病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊(cè)表自啟動(dòng),一旦用戶重啟主機(jī),使得病毒母體從Windows目錄執(zhí)行,病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除,對(duì)用戶造成不可挽回的損失。該病毒是個(gè)2007年的老病毒。因?yàn)樵摬《舅褂玫膁elphi庫(kù)中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯(cuò)誤,最終導(dǎo)致 DecodeDate 計(jì)算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時(shí)間錯(cuò)誤。也因?yàn)樯鲜鲈?,該樣本作為一個(gè)老病毒,直到2021年1月13日才觸發(fā)刪除用戶文件的代碼邏輯,下一個(gè)觸發(fā)時(shí)間是2021年1月23日。
簡(jiǎn)單分析:
incaseformat蠕蟲病毒通過(guò)以下步驟入侵你的數(shù)據(jù):
1、自動(dòng)將本程序代碼復(fù)制到系統(tǒng)盤符下的windows目錄中(C:/windows/tsay/tsay.exe)
2、在注冊(cè)表中自動(dòng)創(chuàng)建開(kāi)機(jī)自動(dòng)啟動(dòng)的服務(wù)
(HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa)
3、病毒在下次用戶開(kāi)機(jī)啟動(dòng)后約20s就開(kāi)始自動(dòng)刪除文件,通過(guò)DeleteFileA和RemoveDirectory代碼實(shí)現(xiàn)對(duì)計(jì)算機(jī)非系統(tǒng)盤符外的所有存儲(chǔ)區(qū)域進(jìn)行文件刪除
4、所有文件夾都被隱藏,只留下一個(gè)“incaseformat”文本文檔
處理方式:
特別提醒用戶,該病毒1月23日、2月4日還會(huì)發(fā)作,請(qǐng)?jiān)诖酥斑M(jìn)行查殺!
已經(jīng)安裝360安全衛(wèi)士的用戶無(wú)需升級(jí)即可查殺該病毒!
未安裝用戶可通過(guò)360軟件管家安裝任一版本360安全衛(wèi)士,或安裝360最新上線的"incaseformat"病毒專殺工具!
專殺工具最新下載地址:http://softdl.360tpcdn.com/auto/20210114/2000002851_e4fb3308216a5d8f7f081ac3d6629c8d.exe
此次有大量用戶被刪文件的原因,是因?yàn)檫@些用戶誤將病毒文件加入到信任區(qū),或者根本沒(méi)有安裝安全軟件,該病毒很可能已經(jīng)在用戶電腦中潛伏十年以上。
發(fā)現(xiàn)文件不見(jiàn)了但空間占用還正常的,不要重啟,清空安全衛(wèi)士信任區(qū)后全盤殺毒即可。
如已經(jīng)重啟或硬盤空間減少的情況,請(qǐng)立即切斷電源,不要對(duì)硬盤進(jìn)行讀寫操作,并向?qū)I(yè)數(shù)據(jù)恢復(fù)人員求助。
對(duì)于不確定有無(wú)中毒的用戶,建議使用安全衛(wèi)士-木馬查殺-全盤掃描。