欢迎来到诚力友软件
18118028216 扫码关注
二维码
在线试用
二开案例
热门新闻
联系我们
诚力友软件
淮安:18505218550
常州:18118028216
淮安地址:淮安市清江浦区颐高广场3号楼工程917室
常州地址:常州市钟楼区怀德南路55号泰盈八千里5-8创新工场二楼
公司新闻
当前位置:首页—新闻中心—公司新闻
突发!incaseformat蠕虫病毒来袭
发布时间:2021-1-16  浏览次数:1306

2021年1月13日,一种名为incaseformat的蠕虫病毒在国内爆发。该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,删除用户除C盘以外的所有磁盘文件,危害极大。

一、病毒行为描述

设置开机自启

此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行为。

隐藏自身

当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

删除文件

病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。最终遍历删除系统盘外的所有文件,在根目录留下名为 incaseformat 的文本文件。

二、解决方案

目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

中毒后如何处置:

1、主机排查

排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。

2、数据恢复(建议专业团队操作)

切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。

3、病毒清理

由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:

1) 通过任务管理器结束病毒相关进程(ttry.exe)

2) 删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)

3) 恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项

防护建议

1、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

2、尽量关闭不必要的共享,或设置共享目录为只读模式;

3、严格规范U盘等移动介质的使用,使用前先进行查杀;

4、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

5、及时备份重要文件,且文件备份应与主机隔离, 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

三、数据安全建议

万物互联时代,企业数据作为企业的重要资产,在企业的经营、管理、决策方面起着重要作用,与此同时,数据的存储安全也备受企业关注。企业上云,作为一种安全、便捷的企业信息储存方式,以其成本低、接入快、更新快的优势赢得企业认可。于用户而言,面对病毒,公有云已成为一个安全避风港。

比如:可以使用网络备份机备份,详见http://qwap.czchliy.com/product/19

当然也可以用云备份比如金万维云联进行云备份(我司提供)




  • 上一篇:用友T+新功能更新2021年1月
  • 下一篇:如何提高设备利用率?八大措施一个不能少!
  • 淮安诚力友软件有限公司
    淮安:18505218550
    常州:18118028216
    淮安地址:淮安市清江浦区颐高广场3号楼工程917室
    常州地址:常州市钟楼区怀德南路55号泰盈八千里5-8创新工场二楼
    诚力友软件 Copyright 2019. All rights reserved
    咨询热线:
    18118028216
    在线客服:
    官方微信站:
    公司官网: www.hachliy.com