有网友反应遭遇“incaseformat”病毒攻击,硬盘除C盘外,其他分区文件被删除,仅保留一个名为“incaseformat.log”的0字节文件。腾讯安全专家分析后发现,这是一个很古老的蠕虫病毒。腾讯iOA、腾讯御点、腾讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文件恢复的概率也较高。
该病毒在非Windows 目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自启动,拷贝自身到windows目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe),同时设置注册表runonce的msfsa项。
当病毒在windows 目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe)运行时,会修改注册表不显示隐藏属性的文件,最后会遍历磁盘,删除所有除系统盘之外的文件,只在硬盘根目录留下名为incaseformat.log的空文件。
该病毒出现很早,同源变种样本也有数百个之多。腾讯零信任无边界访问控制系统(iOA)、腾讯御点、腾讯电脑管家及其他主流杀毒软件均可查杀。用户只要开启杀毒软件的实时防护即可有效防御。当病毒改写注册表的启动项时,安全软件也会报警。
腾讯安全专家表示,因该病毒采用文件夹的图标,会使一部分用户误认为是正常软件,而将杀毒软件的防护功能关闭,或者将病毒添加到信任白名单里,最终在这些用户的系统上会造成病毒发作文件被删除。
由于病毒代码设置变量值的错误,导致病毒计算当前系统时间出错,因而在2021年1月13日触发删除文件等操作(下一次发作是1月23日)。之所以用户电脑的安全软件未作出响应,可能是用户错误地将病毒文件添加为信任白名单所致。
腾讯安全建议用户勿轻易判定安全软件的警告为误报,勿轻易将可疑文件添加到信任白名单,可避免受害。如果已有用户不幸中招,可以在清除病毒之后,使用文件恢复工具将被删除的文件还原,只要用户未做较多的文件覆盖操作,恢复成功的概率较大(SSD硬盘例外,因存储机制不同,删除后难以恢复。)
单击“恢复被删除的文件”,等待扫描结束。
将找回来的文件保存到硬盘,如果是全盘恢复所有文件,建议使用空间够大的存储空间,可以是移动硬盘,也可以是网络可写共享目标映射的磁盘。之后,恢复的文件就可以正常访问了。提醒注意,如果恢复所有文件,也会把病毒程序恢复保存。只需要在数据恢复完成后再查杀病毒就可以了。
IOCs
MD5(部分同源样本)
ef5b7e56bfb0fa8106ed34d03fac1c54
8c2684749c3fb167f461fd232949a19d
a4063fdcca320255b6cbf346b136729f
bd3ec766a3e9b06de1fc5814c683631b
d7bfa872efe8abf74ea9bbe0cd4602a8
d223e83d01acbf7681d7e8f88f03151b
bb7b42ad834ad913d940d07ccb07acbb
a1b1cfa4cb764163967c33e297e61bc3
b47a2e878a90fc69edeb291c601e4016
93bd1f3cbe0e17705b7e871aa277e3cb
08b23af62b33dadff2f3e83ce1281127
bc538c071683816ae9f37aff51d615a0
15a072207501195802968ff7c79e6a69
7c82fe43617d43fb2f8b77bfa480571b
9f3bcbd38ee225690ed613d518c101f9
4b9b17a4c93e31ba7ef7eeaa930e5caf
3a27dc421e70d4b5b054d7e1e3ff2335