备注:本文是直接在文档上复制的,因为要给客户看,但是我想着,可以分享,经验总结,今天2021年1月14号,各位快拿去解决问题。
2021年1月13日,全国多家单位反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多windows系统。感染主机表现为所有非系统分区文件均被删除,被删除文件分区根目录下均存在名为incaseformat.log的空文件。incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”,定时触发,重启后直接删除文件。
只要安装防病毒软件就没事,不多说,网上一大把关于这样的描述。
Incaseformat解决方案参考
目录
1.1 方法一:杀毒软件识别
下载防病毒软件(如天融信EDR:http://edr.topsec.com.cn/)
若扫描出现ttry.exe或tsay.exe程序时,即为感染。
1.2 方法二:人工排查
- 在C:\windows下搜索有无类似tsay.exe、ttry.exe的程序,没有最好。
中毒的情况:
- 查看注册表启动项,查看是否有msfsa指向C:\windows\tsay.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe,没有最好。
- 进入注册表,运行框(快捷键WIN+R)内搜索regedit
- 按路径寻找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
继续按路径依次点开,不再截图
中毒的情况:
2 发现已感染但数据还未删除的解决办法
这种情况很好处理,而且可以快速恢复数据,虽然程序已经开始运行,但电脑还未重启,并没有删除数据。
2.1 方法一:直接杀毒,恢复隐藏文件(推荐)
直接插入带有EDR软件的U盘,运行程序进行查杀,并且通过测试,天融信EDR能够自动恢复隐藏文件。
对该病毒进行安全分析,发现第二次爆发的时间是23号,从14至22日均不会触发删除文件的条件,所以程序暂时不会对U盘数据进行删除,可直接杀毒,恢复隐藏数据即可。如果插入U盘后,发现出现U盘数据删除的情况,参考方法二。
2.2 方法二
2.2.1前期操作
- 不要关机,不要打开任何文件夹
- 通过任务管理器结束病毒相关进程(tsay.exe、ttry.exe)
- 鼠标右键点击任务栏空白处,选择任务管理器进入即可
2) 显示“进程”->右键”结束任务”
- 删除C:\windows下的tsay.exe、ttry.exe程序(步骤见1.1)
- 删除注册表中msfsa指向C:\windows\tsay.exe 的组件(步骤见1.1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe
此外还需修复以下注册表项:
实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue
2.2.2数据恢复
- 显示原有文件:在文件夹选项里面设置, 勾选“显示隐藏文件”,去掉“隐藏已知文件类型扩展名”的勾选。
在win10中
在win7、XP中
- 计算机->组织->文件夹和搜索选项->查看
2)勾选“显示隐藏的文件。。。”
去掉“隐藏已知文件类型扩展名”的勾选
- 原有文件备份:打开D/E/F等盘,发现如下数据。删除带有.exe后缀的文件夹,将正常的文件夹(不带有.exe的文件夹)拷贝一份至C盘,其它所有盘都如此操作,进行备份。
2.2.3病毒查杀
方案一(推荐):直接插入带有EDR软件的U盘,直接运行程序,进行杀毒。杀毒完成后,再指定路径对U盘进行杀毒。
因为“前期操作”已进行了手工病毒删除,故不会运行程序直接删除U盘内容,若直接删除U盘内容,参考方案二。
方案二:
- 关机
- 在pe模式下进入电脑,将带有EDR软件的U盘插入,将EDR软件拷贝至C盘。
- 正常启动电脑,运行C盘中的EDR,进行杀毒。
3 发现已感染且数据已删除的解决办法
3.1病毒查杀
3.1.1方法一:拼手速,直接杀毒(测试可行)
直接插入带有EDR软件的U盘,在U盘数据没有被删除前尽快运行杀毒程序,进行查杀。通过测试,该病毒不会删除已运行程序(或者尽快将杀毒软件拷贝到C盘)。
3.1.2方法二:在PE模式下,将U盘中杀毒软件拷贝到C盘
- 关机
- 为防止病毒直接删除U盘中数据的情况:在pe模式下进入电脑,将带有EDR软件的U盘插入,将EDR软件拷贝至C盘
- 正常启动电脑,运行C盘中的EDR,进行杀毒
- 删除各文件夹中的incaseformat.log
3.2数据恢复
3.2.1前期排查
对病毒进行完全清除,防止恢复文件时将带有.exe的病毒文件一起恢复。
- 排查任务管理器中是否还存在与病毒相关的进程(tsay.exe、ttry.exe)
(步骤见2.2.1)
- 排查C:\windows下是否还存在tsay.exe、ttry.exe程序(步骤见1.1)
3、删除注册表中msfsa指向C:\windows\tsay.exe 的组件(步骤见1.1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe
此外还需修复以下注册表项:
实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue
3.2.2工具恢复
切勿对被删除文件的分区执行写操作,以免覆盖原有数据,常见的数据恢复软件(如:Finaldata、easyrecover、recuva、DiskGenius等)即可恢复被删除数据,大部分收费,且操作不当会使所恢复文件不完整,或者乱码,建议联系专人进行数据恢复工作。
4 未感染主机加固操作
4.1全盘杀毒
尽快在该病毒非爆炸时间进行全盘杀毒,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新。
4.2使用U盘前进行安全检查
使用U盘前用杀毒软件进行病毒扫描后再使用。
4.3电脑关闭自动播放功能
原因:自动播放功能启用时,如果自动播放设备有病毒,病毒会自动运行
步骤如下:
- 打开的运行窗口(快捷键WIN+R)中输入命令gpedit.msc
- 打开的本地组策略编辑器窗口中,依次点击“计算机配置/管理模板/Windows组件/自动播放策略”菜单项
3、右键点击“关闭自动播放”菜单项,在弹出菜单中选择“编辑”菜单项,启用->所有驱动器->应用
4.4关闭默认共享
控制面板->管理工具->服务->关闭服务server
5 天融信EDR防护方案
天融信EDR无需病毒库升级即可对该蠕虫病毒进行全面查杀和防御。
1)已安装天融信EDR的用户可对该蠕虫病毒精准查杀和全面防御。
2)未安装天融信EDR的用户,可试用企业版或下载单机版对该蠕虫病毒进行检测与查杀。
3)可对带有该病毒的U盘进行查杀,并自动恢复隐藏文件。
6 如何安装天融信EDR?
下载链接
1、本地下载
2、更改安装目录,装到C盘(强调:针对已感染电脑,请装到C盘,其它盘不要动,以免后期恢复数据困难)
可以事先在C盘中新建一个文件夹,命名为TOPSECDER
1)更改安装目录
2)确定,急速安装
3、安装完成,快速查杀即可
4、出现tsay.exe、ttry.exe等为该病毒所产生程序,直接处理
- 完成后再进行全盘杀毒,不再演示