堪比熊猫烧香!中国新型蠕虫病毒大爆发!电脑瞬间报废
近日,深信服安全团队监测到一种名为incaseformat
的病毒,全国各个区域都出现了被incaseformat
病毒删除文件的用户。
经调查,该蠕虫正常情况下表现为文件夹蠕虫,执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。该病毒于 1 月 13 日集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于 1 月 13 号,根据分析推测,下次触发删除文件行为的时间约为 2021 年 1 月 23 日和 2 月 4 日。为此深信服免费提供了查杀工具incaseformat
病毒帮助广大用户检测查杀incaseformat
。
以上内容来自 站长之家
对于蠕虫病毒,大多数人可能不够了解,但也应该听说过2007年肆虐网络的“熊猫烧香”和这几年比较火爆的“勒索病毒”,这两个病毒都属于蠕虫病毒。感染“熊猫烧香”的电脑可执行文件会出现“熊猫烧香”图案,感染“勒索病毒”的电脑会对文件进行加密,向电脑的用户勒索赎金。
蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。
蠕虫病毒的传播性极强,短时间内就能大范围传播。而且随着技术的进步,蠕虫病毒的隐蔽性和传播方式越来越多样化。现在这种病毒通常利用网页进行传播,如果用户进入了含有蠕虫病毒的网址,就有可能导致自己的电脑被感染。
火绒安全关于Incaseformat蠕虫病毒详细解答
1月13日,Incaseformat
病毒因其破坏性以及集中爆发的特性,在全网引起了大量用户的高度关注。火绒安全实验室迅速对该事件跟进确认,并整理、解答用户关心的8个重要问题。
1、incaseformat
病毒是什么类型病毒?
incaseformat病毒
为蠕虫病毒,不具备加密文件危害。同时该病毒也并非新型病毒,而是存在已久,并于本月13集中发作。
2、病毒是如何传播的?
该病毒主要传播方式为U盘等移动存储器设备。经火绒工程师分析确认,该病毒不会通过U盘以外的网络共享、漏洞等常见蠕虫传播方式传播。
3、如何防御该病毒?
目前主流安全软件均可防御。火绒个人和企业用户无需升级,即可拦截和查杀此病毒(火绒的检测名称为:HEUR:Worm/Autorun.o
)。同时火绒的【免疫防护】功能,可确保即使信任该病毒,仍会对其进行拦截。
4、已经中毒如何查杀?
清空信任区,全盘扫描,并对可移动设备进行查杀。
5、被删除的文件还能恢复吗?
恢复可能性较高。因为病毒删除文件时没有对文件做覆写或破坏操作,用户可以联系专业的数据恢复公司进行恢复。千万注意,在数据重要的情况下不要自行操作。
6、如何检测自己电脑里是否有 Incaseformat
病毒?
(1)手工检测方法
在以下路径查看是否存在
C:Windowstsay.exe
C:Windowsttry.exe
(2)脚本检测方法
将以下脚本内容复制粘贴到任意扩展名为.bat的批处理文件中,双击执行,即可输出检测结果。(bat编码集需要选择为ANSI)
@echo offset tsay_path=C:Windowstsay.exeset ttry_path=C:Windowsttry.exeif exist %tsay_path% goto findif exist %ttry_path% goto findecho 本机没有找到【incaseformat】病毒,安装安全软件,排查信任区并确认实时监控是否开启echo.pauseexit:findecho 本机存在【incaseformat】病毒,请联系管理员处理echo.pauseexit
该病毒内设置了定时发作的指令,因此具备一定潜伏期。但由于BUG原因导致在2021年1月13日突然发作。
不幸“中招”蠕虫病毒后如何处理
先断开网络。
使用安全产品进行全盘扫描查杀。
确保电脑中没有病毒,再尝试使用数据恢复类软件恢复丢失数据。
据环球网报道,Incaseformat早在数年前就已出现,每隔一段时间就会发作一次。该病毒代码显示,它的下次启动时间可能是2021年1月23日和2月4日。