一、事件說明

2021-01-13日一種名為incaseformat的蠕蟲在國內(nèi)爆發(fā)，該蠕蟲執(zhí)行后將刪除被感染計(jì)算機(jī)所有非系統(tǒng)軟件，蠕蟲設(shè)定的下一次刪除時(shí)間為1月23日，建議各用戶做好U盤防護(hù)及查殺工作。

二、已知樣本?

?經(jīng)過分析，1506?KB大小樣本為未壓縮樣本，tsay樣本已壓縮

三、病毒分析

1、病毒信息

病毒名稱：incaseformat

病毒類型：蠕蟲病毒

病毒危害：刪除用戶除系統(tǒng)盤外的所有磁盤文件，并在磁盤的根目錄下創(chuàng)建名為incaseformat.log文件

2、病毒行為

樣本在windows目錄下運(yùn)行，會復(fù)制自身到同目錄下，并且修改注冊表。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt的值為?1。

?此外還會通過修改注冊表，實(shí)現(xiàn)不顯示隱藏文件及隱藏已知文件類型擴(kuò)展名，涉及的注冊表項(xiàng)包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

四、傳播場景復(fù)現(xiàn)

1、A機(jī)在已運(yùn)行病毒樣本情況下，插入U盤。

2、U盤內(nèi)原有121xxxx文件夾被病毒成功感染。?

3、B機(jī)未感染病毒主機(jī)情況。?

4、插入從A機(jī)拔下已被感染的的U盤。

?5、打開U盤查看存在病毒。。

?6、運(yùn)行U盤內(nèi)被感染的文件。?

7、主機(jī)?A?和主機(jī)?B?同時(shí)修改為病毒觸發(fā)時(shí)間。病毒執(zhí)行刪除操作。

五、查殺與恢復(fù)

1、主機(jī)排查

排查主機(jī)Windows目錄下是否存在圖標(biāo)為文件夾的tsay.exe文件，若存在該文件，及時(shí)刪除即可，刪除前切勿對主機(jī)執(zhí)行重啟操作。

2、數(shù)據(jù)恢復(fù)

切勿對被刪除文件的分區(qū)執(zhí)行寫操作，以免覆蓋原有數(shù)據(jù)，然后使用常見的數(shù)據(jù)恢復(fù)軟件（如：Finaldata、recuva、DiskGenius等）即可恢復(fù)被刪除數(shù)據(jù)。

3、病毒清理

由于病毒出現(xiàn)年份較早，主流殺毒軟件均可對該病毒進(jìn)行查殺，用戶也可通過以下手工方式進(jìn)行清理修復(fù)：

1）通過任務(wù)管理器結(jié)束病毒相關(guān)進(jìn)程（ttry.exe）

2）刪除Windows目錄下駐留文件tsay.exe和ttry.exe及注冊表相關(guān)啟動（RunOnce）

3）恢復(fù)上述被病毒篡改的用于隱藏文件及擴(kuò)展名的相關(guān)注冊表項(xiàng)。