统计
  • 建站日期:2021-03-10
  • 文章总数:699 篇
  • 评论总数:733 条
  • 分类总数:10 个
  • 最后更新:12月4日
文章 公告

【紧迫】[情报] incaseformat蠕虫病毒大爆发!20s删除用户所有文件!

程序员阿鑫
首页 公告 正文

近日,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。

【紧迫】[情报]incaseformat蠕虫病毒大爆发!20s删除用户所有文件!-程序员阿鑫-带你一起秃头!-第1张图片

1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。

该蠕虫病毒主要通过 U 盘传播,感染用户机器后会通过 U 盘自我复制感染到其他电脑。病毒启动后会自动复制到 C:WINDOWStsay.exe,待计算机重新启动后在开机 20s 内删除用户数据。

据安全监测机构预计,incaseformat 蠕虫病毒可能会在 1 月 23 日再次爆发,建议用户提前做好预防数据丢失的防范工作。

蠕虫病毒大范围爆发,开机 20s 删除用户文件

安全监测机构分析发现,该蠕虫病毒是通过 DeleteFileA 和 RemoveDirectory 代码对计算机内的文件进行了删除。该病毒还能自动复制到 C:WINDOWStsay.exe 创建启动项后退出,计算机再次启动后会在开机 20s 开始删除用户文件。

据了解,这已经不是该蠕虫病毒第一次爆发了,早在 2014 年就发生过类似事件。

目前,国内已有多个地区的不同行业用户受到该蠕虫病毒影响,但暂时还没发现该病毒具有何种传播范围的针对性。

病毒只在 Windows 目录下运行

据深信服安全研究团队介绍,该蠕虫病毒只有在 Windows 目录下执行时,才会触发删除文件行为。在非 Windows 目录下执行时,病毒会自动复制到系统盘的 Windows 目录下,创建 RunOnce 注册表值设置开机自启,并将自己伪装成正常文件。

【紧迫】[情报]incaseformat蠕虫病毒大爆发!20s删除用户所有文件!-程序员阿鑫-带你一起秃头!-第2张图片

当蠕虫病毒在 Windows 目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

【紧迫】[情报]incaseformat蠕虫病毒大爆发!20s删除用户所有文件!-程序员阿鑫-带你一起秃头!-第3张图片

遍历删除系统盘外所有的文件后,该蠕虫病毒会在根目录留下名为 incaseformat.log 的空文件:

【紧迫】[情报]incaseformat蠕虫病毒大爆发!20s删除用户所有文件!-程序员阿鑫-带你一起秃头!-第4张图片

专家发布安全建议:

  • incaseformat 蠕虫病毒大范围爆发后,多家安全机构已经紧急发布了病毒扫描版本支持检测计算机的病毒。

安全专家建议,如果计算机内已有病毒感染,应立即断开网络,并使用杀毒软件进行全面查杀,可尝试使用数据恢复软件进行数据恢复。

安全建议:

  • 不要打开未知来源文件;
  • 不要下载安装非官方网站的软件;
  • 不要选择“隐藏已知文件的扩展名”;
  • 禁止 U 盘自动运行;
  • 使用高强度密码并定期更换;
  • 注意备份重要文件。

上面害怕大家看不懂,下面放一个360对于此次事件的图文解答!

【紧迫】[情报]incaseformat蠕虫病毒大爆发!20s删除用户所有文件!-程序员阿鑫-带你一起秃头!-第5张图片

版权说明
文章采用: 《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权。
版权声明:未标注转载均为本站原创,转载时请以链接形式注明文章出处。如有侵权、不妥之处,请联系站长删除。敬请谅解!

-- 展开阅读全文 --
这篇文章最后更新于2021-1-14,已超过 1 年没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
《侠盗猎车5》终极超人Mod发布 (更新安装方法)
« 上一篇
桌面图标蜂窝整理软件
下一篇 »
为了防止灌水评论,登录后即可评论!
注册登录

HI ! 请登录
注册会员,享受下载全站资源特权。
登陆 注册
上号,带你一起秃头!

IP地址

热门文章

1
抖音无限礼物模拟小工具分享
2
QQ假红包引流QQ群教程及代码
4
卡QQ永久大会员方法

最新文章

标签