incaseformat 蠕虫病毒,当心文件被删除

已于 2023-11-17 11:56:39 修改
阅读量116 收藏
点赞数
分类专栏: 病毒动态 病毒分析 文章标签: 运维 网络安全 安全
于 2023-02-21 14:40:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52834323/article/details/129142312
版权
2021年1月,incaseformat蠕虫病毒在国内爆发,通过U盘传播,删除系统文件。病毒利用Delphi编写,有四个定时器功能,包括文件复制与删除。用户应安装并更新杀毒软件,防止病毒感染。若已感染,需断网查杀并尝试数据恢复。此外,文章提供了安全建议,如禁用U盘自动播放,开启系统更新,以及备份重要文件等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件描述

       2021年01月,incaseformat 蠕虫病毒在国内爆发,由于其会删除系统中的文件,引起用户恐慌。incaseformat 蠕虫病毒是一只老牌文件夹病毒,通常是通过U 盘传播。在此提醒用户,请安装杀毒软件并保持更新,随时防范病毒攻击。

病毒详细分析

此程序是用Delphi 编写的,其时间戳为2007/3/3。

其会创建一个隐藏的窗口执行,具有4 个定时器。

其在执行时首先将自身拷贝至%windir%/tsay.exe,然后设置自启项。

定时器1:

首先枚举磁盘C~Z,当磁盘介质为可移动磁盘或硬盘时,将其加入到链表中。

之后从链表中读出满足需求的盘符,枚举其根目录所有文件夹,将文件夹隐藏后复制自身为文件夹.exe。

定时器2:

获取当前时间,且仅当满足特定时间要求时才开始删除文件。

由于调用的函数“Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为“5A75CC4h(94854340ms)”,导致时间戳换算结果错误。原本定于 2010 年4 月1 日的文件删除操作直到2021年1 月13 日才被触发,预计下次删除文件操作时间为2021 年1 月23 日和2021 年2 月4 日。

定时器3:

修改注册表设置,取消显示隐藏文件与系统文件等。

定时器4:

枚举所有磁盘,并在根目录下创建incaseformat.txt 文件。

数据恢复方案

若已经感染该病毒,请断开网络,并使用杀毒软件进行全盘查杀,尝试使用数据恢复软件对数据进行恢复。

安全建议

  • 请不要将Windows 文件夹设置为扫描例外;

  • 若发现带有文件夹图标的EXE 文件,除非知道该文件的来源,否则不要打开;

  • 调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,避免被恶意文件夹图标迷惑;

  • 禁止U 盘自动运行,关闭U 盘自动播放;

  • 打开系统自动更新,并检测更新进行安装;

  • 请到正规网站下载程序;

  • 不要点击来源不明的邮件以及附件,邮件中包含的链接;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口及网络共享;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

【天磊卫士安全预警】incaseformat蠕虫病毒预警
Uguardsec的博客
01-14 649
安全预警 天磊卫士安全团队监测到incaseformat蠕虫病毒有重新泛滥的迹象,希望大家引起重视,以免中招。 病毒详情 首先incaseformat病毒是通过全盘镜像来起作用的,有一个负责在文件夹内生成这一病毒的进程,incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字:文件夹图标病毒。 这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己,并且用所在文件夹的名字给自己命名,然后把自己复制满你的文件夹,保证每个文件夹下都有木马。蠕虫会感染你的exe文件,也就是可执行程序,然后让你
linux文件系统丢失,当心: Linux Ext4文件系统 可能造成数据丢失
weixin_36382556的博客
05-03 759
正在使用 Ext4 文件系统的同学可得当心了。据某些用户反映,它可能会造成你的数据丢失。国外一位 KUbuntu Jaunty 的用户称,使用 Ext4 文件系统使他丢失了大量的数据,相关描述可参见位于 launchpad 上的 bug 报告。无独有偶,国内的 albert748 也遇到了类似的问题。他描述道,X 无缘无故死掉,断电重启后,发现 Firefox 的配置丢了很多。与上面那位国外用户一...
安全事件】沉睡多年的incaseformat蠕虫病毒今日被唤醒!
爱国小白帽
01-14 1667
通告编号:NS-2021-0002 2021-01-13 TAG: incaseformat、Worm.Win32.Autorun、数据删除、数据恢复 病毒危害: *此病毒删除所有非系统分区的文件。* 版本: **1.0 ** 1 事件背景 2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录
Incaseformat蠕虫病毒分析
weixin_45484297的博客
03-29 1846
Incaseformat蠕虫病毒分析 01背景 1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件删除。 该病毒最早可以追溯到2009年,该病毒会在2010年4月1日(愚人节)触发删除文件逻辑;而此次爆发的病毒是经过篡改得到的变种,最早可以追溯到2014年。而实际上火绒、360等主流安全防护软件均能查杀这两个变种病毒,中毒用户多是未安装防护软件或是对该病毒添加了信任。 02样本概况 样本名称:tsay.exe 、ttry.exe 严重程度:高危 行为签名:设置注册表实现自
大家注意咯!incaseformat蠕虫病毒爆发
Rio520的博客
01-16 305
大家注意咯 现在incaseformat蠕虫病毒很厉害,大家不要轻易在网上下载不明软件,更不能浏览和下载不健康的内容,这时候还依然进一些不健康的网站下载或浏览,那就是等于往“枪口”上撞,心术不正必有后患,健康上网和正确操作才是光明大道 防护措施: 为了避免被病毒攻击,请做好以下4点防范措施: 尽量不要点击来源不名的可执行文件 下载文件尽量到官网和可信任的第三方 提高个人安全意识 电脑上及时安装杀毒软件,对预警的病毒及时清理 病毒的识别:经常传播的病毒文件(损害计算机及远程控制)识别病毒文件看后缀,包括但不限
Incaseformat 蠕虫病毒威胁通告
爱国小白帽
01-14 1597
报告编号:B6-2021-011401 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-14 0x01事件简述 2021年01月13日,360安全卫士发布了Incaseformat蠕虫病毒的风险通告,事件等级:高危,事件评分:8.5。 360第一时间发布了专杀工具与修复方案(见修复建议) 对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。 0x02风险等级 360CERT对该事件的评定结果如下 评定方式 等级 威胁等级 高危 影响面.
mydotfiles:我的点文件。 买家当心
02-12
这些是我的点文件。 它们原本打算部署在Mac上,但只需少量修改,它们就可以在Linux上运行。 我的bash配置文件包括一些别名和函数,这些函数和别名使基本操作变得更简单,但已有一段时间没有得到维护。 随着Apple转向...
计算机删除文件原理
12-17
而在新文件还没有进行存储操作时,被“彻底删除”的文件却仍然存在于硬盘中。 由上面的分析,朋友们就知道笔者为什么说“彻底删除”并不彻底了。由此可见,通过系统的“彻底删除”而删除文件就有可能被重新找回来...
当心被无线路由器“出卖”.pdf
10-08
当心被无线路由器“出卖”.pdf
激光笔的危害-激光笔当“玩具”-当心小孩视力被“偷走”.docx
11-26
尤其当激光笔被用作玩具时,这个问题更加严峻,因为不当的操作可能导致小孩视力的永久损害,甚至失明。 激光笔发出的激光束具有高能量,能够产生光热效应、光电离效应和光化学效应。这些效应能够损伤眼睛,特别是...
incaseformat蠕虫病毒昨日“发作“,23日可能还会发作
明哥哥知识分享
01-14 759
一. 事件背景 近日,微步在线收到国内多家客户反馈办公设备被名为incaseformat蠕虫病毒感染,受害者机器中除了系统盘以外,其 他文件全部被删除incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件, 并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所 以直到2021年1月13日才被触发。 二. 威胁分析 incaseformat蠕虫病毒运行后,会首先判断是否在系统盘
incaseformat蠕虫病毒样本分析
0leg的博客
01-15 2217
@[TOC]incaseformat蠕虫病毒样本分析 前言 2021年1月13日,incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件删除。该病毒会格式化系统盘外的分区及删除数据,感染后会通过U盘进行传播,传播性强,隐蔽性高,危害性大。 安全工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。
incaseformat蠕虫病毒的预防措施及应对措施
qq_42934452的博客
01-14 2493
2021年才开始的第一个月,病毒感染事件再起。昨天开始,很多用户开机后发现多数电脑除C盘外,全部格式化了,所有文件夹都被隐藏,只留下一个incaseformat.txt文件。这是incaseformat病毒在“卷土重来”,并且有大面积爆发迹象! 一、incaseformat病毒 蠕虫病毒:是常见的计算机病毒中的一种,主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具(U盘等)途径传播,通常隐藏在普通的文件中,比如DOC、PPT、JPG等。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会
incaformat蠕虫病毒样本分析及查杀防范措施
世间繁华梦一出
01-14 3833
2021incaseformat蠕虫病毒一、病毒简介二、样本分析三、查杀与恢复方式四、预防措施 一、病毒简介 病毒名称:incaseformat 病毒性质:蠕虫病毒 影响范围:windows 操作系统 危害等级:紧急 病毒影响:删除除系统盘外的所有文件 二、样本分析 1.样本信息 md5:4b982fe1558576b420589faa9d55e81a sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c sha256:ff84e79cae99f5714f363588b
Incaseformat病毒解决方案参考(针对2021-01-13全国爆发)
海宝最美的博客
01-14 8987
备注:本文是直接在文档上复制的,因为要给客户看,但是我想着,可以分享,经验总结,今天2021年1月14号,各位快拿去解决问题。 2021年1月13日,全国多家单位反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多windows系统。感染主机表现为所有非系统分区文件均被删除,被删除文件分区根目录下均存在名为incaseformat.log的空文件incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”,定时触发,重启后直接删除文件。 只要安...
incaseformat病毒解决方法
热门推荐
小张小张啥也不会
05-27 6万+
incaseformat斗争的全记录解决方法incaseformat.txt带来的问题对病毒深入研究总结 解决方法 我也是百度谷歌上查了很久,发现全网就那么一个方法,大家都是互相盗,而且这方法太旧了,基本不能用。剩下的基本就是推荐你直接放弃治疗,重装系统的…而且百度的方法也不适合我这种从外面通过U盘感染的患者。 于是我根据网友们的想法自己摸索了一个方法出来,希望能帮到大家: 使用我的方法需要满足一个条件,就是你的感染原因是和我一样的,也就是说你的被感染文件夹内的incaseformat.txt是可以自由删
U盘病毒病状及解决方法
tgw2000的专栏
01-20 671
U盘病毒病状及解决方法:U盘病毒病状表现:  1、双击打开U盘时,计算机提示找不到copy.exe。  2、显示隐藏文件时发现有copy.exe host.exe autorun.ini三个可疑文件。  3、部分U盘表现为所有文件属性被修改为隐藏。  4、打开系统进程有可能发现temp1.exe或temp2.exe。解决办法:  先打开进程,将temp1和temp2停止进程(有时没有temp2),
突发,千万别重启!incaseformat蠕虫病毒来袭,警惕文件遭全盘删除(附:免费查杀工具)
weixin_42321517的博客
01-14 1246
2021年1月13日,国内某著名安全团队监测到一种名为incaseformat蠕虫病毒在国内爆发。
linux删除文件确认
最新发布
07-28
在Linux中,删除文件需要使用rm命令。要确认删除文件,可以使用以下命令: 1. 使用ls命令查看当前目录下的文件列表,包括隐藏文件。可以使用ls -a命令来显示隐藏文件。 2. 使用rm命令删除文件。例如,使用rm filename命令删除指定的文件,使用rm -r directory命令删除整个目录及其下的所有文件和子目录。 3. 在执行rm命令之前,一定要格外小心。因为Linux没有回收站,删除文件将无法恢复。特别是对于新手来说,要特别当心,避免误删重要文件。在执行rm命令之前,最好确认一下当前所在的目录和要删除文件,保持高度清醒的头脑。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [Linux删除文件命令汇总](https://blog.csdn.net/weixin_32659841/article/details/116545889)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值