2021年1月,incaseformat蠕虫病毒在国内爆发,通过U盘传播,删除系统文件。病毒利用Delphi编写,有四个定时器功能,包括文件复制与删除。用户应安装并更新杀毒软件,防止病毒感染。若已感染,需断网查杀并尝试数据恢复。此外,文章提供了安全建议,如禁用U盘自动播放,开启系统更新,以及备份重要文件等。
事件描述
2021年01月,incaseformat 蠕虫病毒在国内爆发,由于其会删除系统中的文件,引起用户恐慌。incaseformat 蠕虫病毒是一只老牌文件夹病毒,通常是通过U 盘传播。在此提醒用户,请安装杀毒软件并保持更新,随时防范病毒攻击。
病毒详细分析
此程序是用Delphi 编写的,其时间戳为2007/3/3。
其会创建一个隐藏的窗口执行,具有4 个定时器。
其在执行时首先将自身拷贝至%windir%/tsay.exe,然后设置自启项。
定时器1:
首先枚举磁盘C~Z,当磁盘介质为可移动磁盘或硬盘时,将其加入到链表中。
之后从链表中读出满足需求的盘符,枚举其根目录所有文件夹,将文件夹隐藏后复制自身为文件夹.exe。
定时器2:
获取当前时间,且仅当满足特定时间要求时才开始删除文件。
由于调用的函数“Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为“5A75CC4h(94854340ms)”,导致时间戳换算结果错误。原本定于 2010 年4 月1 日的文件删除操作直到2021年1 月13 日才被触发,预计下次删除文件操作时间为2021 年1 月23 日和2021 年2 月4 日。
定时器3:
修改注册表设置,取消显示隐藏文件与系统文件等。
定时器4:
枚举所有磁盘,并在根目录下创建incaseformat.txt 文件。
数据恢复方案
若已经感染该病毒,请断开网络,并使用杀毒软件进行全盘查杀,尝试使用数据恢复软件对数据进行恢复。
安全建议
-
请不要将Windows 文件夹设置为扫描例外;
-
若发现带有文件夹图标的EXE 文件,除非知道该文件的来源,否则不要打开;
-
调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,避免被恶意文件夹图标迷惑;
-
禁止U 盘自动运行,关闭U 盘自动播放;
-
打开系统自动更新,并检测更新进行安装;
-
请到正规网站下载程序;
-
不要点击来源不明的邮件以及附件,邮件中包含的链接;
-
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
-
尽量关闭不必要的端口及网络共享;
-
请注意备份重要文档。备份的最佳做法是采取3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
扫一扫
603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
