行业动态
您当前位置:首页 > 新闻动态 > 行业动态

蠕虫病毒“incaseformat”23号将再发作,盈高推出解决方案

责任编辑:盈高科技    时间:2021-01-14    浏览次数:11656

摘要:近期,盈高科技发现有多省市多行业用户发生incaseformat蠕虫病毒感染,并有规模爆发趋势。此病毒属高危等级,具备定时删除文件的能力,会在特定时间定时发作,删除电脑中除C盘之外的其他盘符中的所有文件,导致电脑数据丢失,造成严重后果。据推测,预计下次触发删除文件行为的时间约为2021年1月23日和2021年2月4日。



病毒分析

从搜索引擎结果来看,该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。病毒文件运行后,首先复制自身到 Windows 目录下(C:\windows\tsay.exe和C:\windows\ttry.exe),文件图标伪装为文件夹。

经调查,该蠕虫正常情况下表现为文件夹蠕虫,集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于2021年1月13号,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2021年2月4日。



盈高解决方案

incaseformat病毒是利用U盘传播的病毒,已部署了盈高MSEP多维终端安全管理平台的用户,可通过设定U盘安全防护策略,有效防范该病毒的传播。

1. 禁止自动运行。可防止已感染的U盘双击打开时病毒的启动。

2. 禁止直接运行U盘内的程序。可防止病毒采用伪装成文件夹的形式诱导终端使用者打开。




incaseformat病毒可复制自身到windows目录下(C:\windows\tsay.exe和C:\windows\ttry.exe),通过MSEP的文件访问控制功能,禁止在windows目录下的病毒文件进行创建、修改、复制等操作。




安全防护建议


若未出现感染现象建议(其他磁盘文件还未被删除):

1、勿随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;

2、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

3、尽量关闭不必要的共享,或设置共享目录为只读模式;

4、严格规范U盘等移动介质的使用,使用前先进行查杀;

5、重要数据做好备份。

 

若已出现感染现象建议(其他磁盘文件已被删除):

1、使用安全软件进行全盘查杀,清除病毒残留;

2、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复。


盈高科技正持续关注此病毒后续动态,并为广大客户及时提供解决方案。