EN

Incaseformat病毒来袭?中控supCERT教你如何应对!

来源: 中控 时间: 2021-01-14 编辑:

2021年1月13日,一种名为incaseformat的蠕虫病毒在全国各地爆发,浙江中控技术股份金沙集团娱乐官网在线工控网络安全应急响应中心supCERT也接到客户反映磁盘文件被清空,疑似中了该病毒,并有多个客户咨询中控安全防护产品能否防御此次爆发的病毒,supCERT安全工程师得到样本后第一时间对病毒进行分析。

Incaseformat病毒来袭?中控supCERT教你应对

病毒机理分析

样本文件名: tsay.exe/ttry.exe

文件大小: 496640 字节

MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E

SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA

CRC32: AFE5FF81

210114jswx1.png

图1 病毒详情

210114jswx2.png

图2 病毒文件

该病毒使用delphi编写,病毒会伪装为文件夹图标,感染病毒后,病毒会将自身复制到C:\Windows目录下,并创建注册表自启动项

HKEY_LOCAL_MACHINE\SOFTWARE\微软\Windows\CurrentVersion\RunOnce\msfsa

210114jswx3.png

图3 自身复制

210114jswx4.png

图4 写注册表自启动

当病毒在C:\Windows目录下运行时,会修改注册表禁用显示隐藏文件,并判断系统时间,满足条件时遍历磁盘,删除除C盘外的所有文件,并在根目录留下incaseformat.log文件。

210114jswx5.png

图5 修改注册表

210114jswx6.png

图6 删除文件生成incaseformat.log

值得注意的是作为一个老病毒,因为使用了delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误,直到2021年1月13日才触发了删除文件的代码逻辑,导致大规模爆发。该病毒设定的删除日期不止1月13日,距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的风险。


解决方案

Incaseformat病毒来袭?中控supCERT教你应对

经supCERT验证,该病毒不具备网络传播的功能,主要是通过USB等设备传播且只有在C:\Windows目录下运行时才会实行删除文件等恶意操作,而重启电脑则是导致其实行恶意操作的主要途径。

若发现 C:\Windows目录下存在名为tsay.exe/ttry.exe的病毒文件,可以直接删除病毒文件,在删除之前请不要重启电脑。然后排查注册表HKEY_LOCAL_MACHINE\SOFTWARE\微软\Windows\CurrentVersion\RunOnce是否存在病毒的自启动项。

经验证,在安装了中控主机安全卫士VxDefender的电脑上开启白名单防护功能,并确认白名单列表中未包含tsay.exe和ttry.exe文件,则无论重启或是直接双击运行C:\Windows目录下的病毒文件,都可以成功拦截incaseformat病毒。

210114jswx7.png

图7 主机安全卫士主界面

210114jswx8.png

图8 程序白名单拦截提示

210114jswx9.png

图9 程序白名单拦截提示

210114jswx10.png

图10 程序白名单拦截日志

中控主机安全卫士专业版VxDefender Pro已内置黑名单杀毒引擎,可使用病毒查杀功能成功查杀隔离该病毒,有效地保证工业主机的安全稳定运行。

210114jswx11.png

图11 主机安全卫士专业版病毒查杀功能

Incaseformat病毒来袭?中控supCERT教你应对

安全建议

Incaseformat病毒来袭?中控supCERT教你应对

1. 不要下载或点击未知来源的文件

2. 严格规范U盘等移动存储设备的使用

3. 安装杀毒App,定期进行扫描杀毒

4. 安装主机安全防护产品


分享
在线咨询
电话咨询
400-8876000
XML 地图 | Sitemap 地图