winlogon exe
今天中国爆发了一个名为incaseformat的蠕虫病毒。执行后,蠕虫会将自身复制到系统盘的Windows目录下,并创建注册表启动自身。一旦用户重启主机,病毒母体就会从Windows目录执行,病毒进程会遍历除系统盘以外的所有磁盘文件进行删除,给用户造成无法挽回的损失。
目前已发现国内多个地区不同行业用户被感染,病毒传播范围尚未明确针对性。
病毒名称:incaseformat
病毒性质:蠕虫病毒
影响范围:多个省市、行业发现感染病例,有大规模爆发趋势。
危险等级:高风险,可能导致用户数据丢失。
病毒描述:
分析表明,该蠕虫在非Windows目录下执行时,不会删除文件,而是会将自身复制到系统盘的Windows目录下,创建一个RunOnce注册表值并设置为自动启动,并具有伪装成正常文件夹的行为:
HKEY _本地_机器软件微软windows currentversionrunoncemsfsa
值:C:windowssay.exe
当蠕虫在Windows目录中执行时,它会在同一目录中再次复制自身,并修改以下注册表项来调整隐藏文件:
HKEY _ CURRENT _ usersoftwaremicrosoftwindowscurentversionexploreradvancedhidefileext-& gt;0x1
HKEY _ LOCAL _ machinesoftwaremicrosoft windows currentversion exploreradvancedfolderhiddenshowallcheckedvalue-& gt;0x0
最终遍历并删除系统盘外的所有文件,在根目录下留下一个名为incaseformat.log的空文件:
解决方案:
由于该病毒只有在Windows目录下执行才会触发文件删除行为,重启会导致病毒在Windows目录下自行启动,网络安全团队建议用户在做好安全防护和病毒查杀工作之前,不要重启主机:
1、??不要随意下载安装不明软件,尝试重新下载安装;
2、?尝试关闭不必要的共享或将共享目录设置为只读模式;用户可以使用微隔离功能来阻塞共享端口;
3、??严格规范u盘等移动媒体的使用,使用前查杀;
4、??如果发现被感染主机,先断网,使用安全产品进行全面扫描查杀,再尝试使用数据恢复软件。
5、升级杀毒软件,使用专用杀毒软件进行杀毒、防火墙升级等。,以提高计算机的防护能力。
如果有安装了ERP的数据库服务器,必须做备份!把数据库复制到移动硬盘上!请注意!
最近国内爆发的incaseformat蠕虫病毒引起了很多人的关注。incaseformat蠕虫病毒中招进入电脑后,除系统c盘外的所有文件都会被删除,导致大量重要文件丢失,给用户造成无法挽回的损失。
在caseformat蠕虫遍历删除文件。
incaseformat蠕虫在电脑终端运行后,会检测自己的执行路径,将其复制到系统盘的Windows目录下,修改相关注册表项,最后遍历并删除系统盘外的所有文件,在根目录下留下一个名为incaseformat.log的空文件。
画
隐格式蠕虫病毒的传播
Incaseformat蠕虫主要通过u盘传播,也可以通过文件共享传播。病毒一旦控制了一台电脑,就会以它为宿主,不断复制自己,感染其他电脑,使得中毒数量成倍增长!此外,他还会伪装成其他文件,躲避安全软件的查杀。
Incaseformat蠕虫具有定期删除文件的能力。一旦感染,就会像“定时炸弹”一样定期发作。最后一次袭击是在2021年1月13日。根据病毒作者设定的程序逻辑,该病毒的下一次攻击预计在本月2月23日和4日。
可见,incaseformat蠕虫病毒传染性强,隐蔽性强,危害大,企业需要重点防范!
关于IP-guard安全防护的建议
针对incaseformat蠕虫的防御,企业可以通过IP-guard对incaseformat蠕虫进行排查和清理,此外还可以使用IP-guard文档云备份,提前保护终端数据文档。
1.IP防护装置检查和清洁方案:
(1)通过敏感内容识别,可以有效发现终端Windows目录中是否有tsay.exe或ttry.exe文件。如果有文件,及时删除,删除前不要重启电脑。
(2)通过应用管理和控制模块,可以禁止病毒相关的进程(如ttry.exe)运行,及时防止破坏。
(3)通过终端安全检测,可以监控注册表项(HKEY _本地_机器软件软件软件软件Windows当前版本Runoncemsfsac: Windows Say。Exe),并且如果发现任何异常,可以采取报警、警告或阻断网络等措施,防止病毒传播。
2、IP-guard防范方案:
(1)通过终端安全检测,确保内网所有电脑都安装了杀毒软件,可以要求更新到最新的病毒库,保证有效查杀病毒。
(2)提高员工的安全意识,通过移动存储的管控功能,禁止外来移动存储设备随意访问内网,降低随意访问移动存储感染病毒的风险。
(3)通过IP-guard文档操作控制功能,可以限制共享文件夹的读写权限,只允许用户访问自己权限内的共享文件,防止病毒传播。
(4)IP-guard可以帮助企业建立软件中心,保证用户通过正规渠道下载软件,尽量避免随意从网上下载软件导致的病毒感染。
(5)为防止不可恢复的数据破坏风险,我们建议通过IP-guard文档云备份功能对终端的重要文件进行统一备份。一旦终端数据被病毒破坏,可以通过文档云备份恢复数据。
其实incaseformat蠕虫在几年前就出现了,然后每隔一段时间就会出现一次。企业用户需要及时排查并清除incaseformat蠕虫,做好长期防御incaseformat蠕虫的准备,防止其删除损坏重要文件,影响企业业务正常运行。
