Incaseformat病毒解决方案参考(针对2021-01-13全国爆发)

 

 

备注:本文是直接在文档上复制的,因为要给客户看,但是我想着,可以分享,经验总结,今天2021年1月14号,各位快拿去解决问题。

2021年1月13日,全国多家单位反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多windows系统。感染主机表现为所有非系统分区文件均被删除,被删除文件分区根目录下均存在名为incaseformat.log的空文件。incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”,定时触发,重启后直接删除文件。

只要安装防病毒软件就没事,不多说,网上一大把关于这样的描述。

 

Incaseformat解决方案参考

目录

1 没有出现删数据的现象时,如何判断自己电脑有没有感染?

1.1 方法一:杀毒软件识别

1.2 方法二:人工排查

2 发现已感染但数据还未删除的解决办法

2.1 方法一:直接杀毒,恢复隐藏文件(推荐)

2.2 方法二

2.2.1前期操作

2.2.2数据恢复

2.2.3病毒查杀

3 发现已感染且数据已删除的解决办法

3.1病毒查杀

3.1.1方法一:拼手速,直接杀毒(测试可行)

3.1.2方法二:在PE模式下,将U盘中杀毒软件拷贝到C盘

3.2数据恢复

3.2.1前期排查

3.2.2工具恢复

4 未感染主机加固操作

4.1全盘杀毒

4.2使用U盘前进行安全检查

4.3电脑关闭自动播放功能

4.4关闭默认共享

5 天融信EDR防护方案

6 如何安装天融信EDR?


1.1 方法一:杀毒软件识别

下载防病毒软件(如天融信EDR:http://edr.topsec.com.cn/

若扫描出现ttry.exe或tsay.exe程序时,即为感染。

 

1.2 方法二:人工排查

  1. 在C:\windows下搜索有无类似tsay.exe、ttry.exe的程序,没有最好。

中毒的情况:

 

  1. 查看注册表启动项,查看是否有msfsa指向C:\windows\tsay.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa  C:\windows\tsay.exe,没有最好。
  1. 进入注册表,运行框(快捷键WIN+R)内搜索regedit

 

 

  1. 按路径寻找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

继续按路径依次点开,不再截图

 

中毒的情况:

 

 

 

2 发现已感染但数据还未删除的解决办法

这种情况很好处理,而且可以快速恢复数据,虽然程序已经开始运行,但电脑还未重启,并没有删除数据。

2.1 方法一:直接杀毒,恢复隐藏文件(推荐)

直接插入带有EDR软件的U盘,运行程序进行查杀,并且通过测试,天融信EDR能够自动恢复隐藏文件。

对该病毒进行安全分析,发现第二次爆发的时间是23号,从14至22日均不会触发删除文件的条件,所以程序暂时不会对U盘数据进行删除,可直接杀毒,恢复隐藏数据即可。如果插入U盘后,发现出现U盘数据删除的情况,参考方法二。

 

2.2 方法二

2.2.1前期操作

  1. 不要关机,不要打开任何文件夹
  2. 通过任务管理器结束病毒相关进程(tsay.exe、ttry.exe)
  1. 鼠标右键点击任务栏空白处,选择任务管理器进入即可

2) 显示“进程”->右键”结束任务”

  1. 删除C:\windows下的tsay.exe、ttry.exe程序(步骤见1.1)
  2. 删除注册表中msfsa指向C:\windows\tsay.exe 的组件(步骤见1.1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa  C:\windows\tsay.exe

此外还需修复以下注册表项:

实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

 

 

2.2.2数据恢复

  1. 显示原有文件:在文件夹选项里面设置, 勾选“显示隐藏文件”,去掉“隐藏已知文件类型扩展名”的勾选。

 

在win10中

 

在win7、XP中

  1. 计算机->组织->文件夹和搜索选项->查看

2)勾选“显示隐藏的文件。。。”

去掉“隐藏已知文件类型扩展名”的勾选

 

 

 

  1. 原有文件备份:打开D/E/F等盘,发现如下数据。删除带有.exe后缀的文件夹,将正常的文件夹(不带有.exe的文件夹)拷贝一份至C,其它所有盘都如此操作,进行备份。

 

 

2.2.3病毒查杀

方案一(推荐):直接插入带有EDR软件的U盘,直接运行程序,进行杀毒。杀毒完成后,再指定路径对U盘进行杀毒。

因为“前期操作”已进行了手工病毒删除,故不会运行程序直接删除U盘内容,若直接删除U盘内容,参考方案二。

 

方案二:

  1. 关机
  2. 在pe模式下进入电脑,将带有EDR软件的U盘插入,将EDR软件拷贝至C盘。
  3. 正常启动电脑,运行C盘中的EDR,进行杀毒。

 

3 发现已感染且数据已删除的解决办法

3.1病毒查杀

3.1.1方法一:拼手速,直接杀毒(测试可行)

直接插入带有EDR软件的U盘,U盘数据没有被删除前尽快运行杀毒程序,进行查杀。通过测试,该病毒不会删除已运行程序(或者尽快将杀毒软件拷贝到C盘)。

 

3.1.2方法二:在PE模式下,将U盘中杀毒软件拷贝到C盘

  1. 关机
  2. 为防止病毒直接删除U盘中数据的情况:在pe模式下进入电脑,将带有EDR软件的U盘插入,将EDR软件拷贝至C盘
  3. 正常启动电脑,运行C盘中的EDR,进行杀毒
  1. 删除各文件夹中的incaseformat.log

3.2数据恢复

3.2.1前期排查

对病毒进行完全清除,防止恢复文件时将带有.exe的病毒文件一起恢复。

  1. 排查任务管理器中是否还存在与病毒相关的进程(tsay.exe、ttry.exe)

(步骤见2.2.1)

  1. 排查C:\windows下是否还存在tsay.exe、ttry.exe程序(步骤见1.1)

3、删除注册表中msfsa指向C:\windows\tsay.exe 的组件(步骤见1.1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa  C:\windows\tsay.exe

此外还需修复以下注册表项:

实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

 

3.2.2工具恢复

切勿对被删除文件的分区执行写操作,以免覆盖原有数据,常见的数据恢复软件(如:Finaldata、easyrecover、recuva、DiskGenius等)即可恢复被删除数据,大部分收费,且操作不当会使所恢复文件不完整,或者乱码,建议联系专人进行数据恢复工作。

 

4 未感染主机加固操作

4.1全盘杀毒

尽快在该病毒非爆炸时间进行全盘杀毒,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新。

 

4.2使用U盘前进行安全检查

使用U盘前用杀毒软件进行病毒扫描后再使用。

 

4.3电脑关闭自动播放功能

原因:自动播放功能启用时,如果自动播放设备有病毒,病毒会自动运行

步骤如下:

  1. 打开的运行窗口(快捷键WIN+R)中输入命令gpedit.msc

 

  1. 打开的本地组策略编辑器窗口中,依次点击“计算机配置/管理模板/Windows组件/自动播放策略”菜单项

 

3、右键点击“关闭自动播放”菜单项,在弹出菜单中选择“编辑”菜单项,启用->所有驱动器->应用

 

 

4.4关闭默认共享

控制面板->管理工具->服务->关闭服务server

 

5 天融信EDR防护方案

天融信EDR无需病毒库升级即可对该蠕虫病毒进行全面查杀和防御。

1)已安装天融信EDR的用户可对该蠕虫病毒精准查杀和全面防御。

2)未安装天融信EDR的用户,可试用企业版或下载单机版对该蠕虫病毒进行检测与查杀。

3)可对带有该病毒的U盘进行查杀,并自动恢复隐藏文件。

6 如何安装天融信EDR?

下载链接

http://edr.topsec.com.cn/

1、本地下载

 

2、更改安装目录,装到C(强调:针对已感染电脑,请装到C盘,其它盘不要动,以免后期恢复数据困难)

可以事先在C盘中新建一个文件夹,命名为TOPSECDER

 

1)更改安装目录

 

 

2)确定,急速安装

 

3、安装完成,快速查杀即可

 

 

4、出现tsay.exe、ttry.exe等为该病毒所产生程序,直接处理

 

  1. 完成后再进行全盘杀毒,不再演示

 

  • 12
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值