沉寂已久的Incaseformat蠕虫病毒重燃,应急处置方案同步推出
发布时间 2021-01-14病毒重点信息
病毒名称:incaseformat、Worm.Win32.Autorun
传播途径:移动介质
危害程度:非系统分区数据删除
触发条件:随电脑开机启动
威胁预测:2021年1月23日将会再次爆发
处置方案:进程抑制、文件删除
威胁分析
该病毒最早的出现时间约在2009年,由于病毒编码中时间换算错误,延后了10余年才触发后续行为,incaseformat 蠕虫病毒运行后,将会进行以下操作:
1、进行自复制(C:\windows\tsay.exe、C:\Windows\ttry.exe)
2、设置注册表自启动(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)
3、隐藏受保护的文件
4、触发执行后续的文件删除动作
注意事项
1、暂停使用U盘等移动存储工具
2、不打开未知文件、不点击未知链接
3、威胁清除前不要重启电脑
4、确保共享目录关闭、主机防火墙开启
处置方案
● 未安装天珣EDR
1、排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件
2、排查并删除注册表“msfsa”项
“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”
● 已安装天珣EDR
1、开启关键路径信息变动采集并添加威胁路径信息,持续监控预警
2、开启注册表信息变动采集并添加威胁路径监控信息,持续监控预警
3、添加进程黑名单,抑制病毒运行
4、推送响应脚本,全网清除病毒威胁
5、回溯威胁入口,为后续安全整改提供支撑
启明星辰天珣终端高级威胁检测与响应系统(简称天珣EDR),发现、分析、处置安全威胁的同时提供完善的可视化回溯能力,协助管理人员定位威胁源头。
温馨提示
可通过邮件或其他方式告知所有人员执行一次启明星辰提供的“关于incaseformat清除脚本”后再关机或重启电脑。
清除脚本获取方式:
1、直接联系对接商务、技术
2、拨打启明星辰热线电话:400-624-3900
启明星辰将持续关注此病毒后续动态并及时提供解决方案。