1月13日,一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自动复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。
经分析,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa
值: C:windowstsay.exe
当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt -> 0x1
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue -> 0x0
最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:
相关机构分析,该蠕虫正常情况下表现为文件夹蠕虫,集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于1月13号,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2月4日。
目前,已发现国内多个区域不同行业用户遭到感染,选哲科技提醒广大伙伴和用户,对数据安全要时刻保持警惕,提前做好以下安全防护措施:
【1】安装正规杀毒软件,并将软件和病毒库升级到最新版;
【2】不要下载、打开来源不明的软件、文件和图片;
【3】尽量关闭不必要的共享,或设置共享目录为只读模式;
【4】严格规范U盘等移动介质的使用,使用前先进行查杀;
【5】使用高强度密码并定期更换;
【6】定期拷贝重要文件,并异地备份,做好提前防护,确保数据库安全备份;
【7】尽量将服务器部署在云端。
面对这次病毒攻击,相信广大用户感受到了数据对于一个企业的重要性,当发生这种天灾人祸或系统硬件故障时,本地帐套数据丢失后,后果不堪设想。云盾服务中的云备份功能可以把企业数据备份到云端,这样即使数据意外丢失,还是可以从已备份的云端下载恢复数据,把企业损失降到最低!同时云备份还能保障企业数据不被非法获取,保障数据安全!
详情请咨询:139-6806-9700 或 添加微信号:9269263
请大家务必及时做好数据备份及电脑防护!!!
关于选哲科技
选哲科技始创于2013年,是专业的业财融合IT解决方案服务商,致力于帮助客户搭建业财融合的数据中台,用数据赋能企业业务发展,推动企业实现数字化转型。经过8年的砥砺前行,选哲科技已经实施超过1000+的业财融合信息化项目,服务超过500+的成长型企业客户,其中集团公司60多家、上市公司30多家。覆盖了制造、系统集成、零售、电商、互联网、金融、能源等数十个行业。
扫码关注更多精彩 咨询热线:4000-123-020
微信号:9269263
