近日,美创安全实验室监测到一种名为incaseformat的蠕虫病毒在国内大爆发,已发现多个区域不同行业用户遭到感染。该蠕虫病毒执行后会复制到系统盘windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。
01病毒情况
美创安全实验室第一时间拿到相关病毒样本,经virustotal 检测,确认为 incaseformat蠕虫病毒。
incaseformat蠕虫病毒在windows下显示的图标形状为文件夹图标,具有一定的欺骗性。
当蠕虫病毒在windows目录下执行时,会修改注册表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt的值为1:
修改
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue的值为0
这么做是为了关闭windows后缀显示,因为病毒图标做了伪装,从而达到了让用户误以为这是一个文件夹的目的。
当病毒在非windows目录下运行时,会拷贝副本至C:windows say.exe,并创建RunOnce注册表值设置开机自启。一旦用户重启主机,病毒进程将会删除除了系统盘外的所有路径下的文件。
02防护措施
美创诺亚防勒索系统可抵御incaseformat蠕虫病毒删除文件的行为,以下为诺亚防勒索针对这款勒索病毒的防护效果。
美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。
开启诺亚防勒索的情况下:
双击执行病毒文件,当incaseformat蠕虫病毒病毒尝试删除被保护文件,诺亚防勒索提出警告并拦截该行为。
查看系统上被测试的文件,文件未被删除且可被正常打开,成功防护incaseformat蠕虫病毒对被保护文件的恶意行为。
开启堡垒模式的情况下:
为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。
运行在堡垒模式下,执行incaseformat蠕虫病毒,立刻被移除到隔离区,因此可阻止任何未知病毒的执行。
由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动。因此,美创安全实验室建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机,并注意日常防范措施,以尽可能避免损失:
1、及时给电脑打补丁,修复漏洞。
2、严格规范U盘等移动介质的使用,使用前先进行查杀;
3、重要的文档、数据定期进行非本地备份,一旦文件损坏或丢失,也可以及时找回。
4、不要点击来源不明的邮件附件,不从不明网站下载软件,警惕伪装为浏览器更新或者flash更新的病毒。
5、尽量关闭不必要的文件共享。
6、尽量关闭不必要的端口,如139、445、3389等端口,降低被攻击的风险。