近日,一种名为“incaseformat”的计算机病毒在我国境内活跃,该病毒为Windows操作系统平台下具有“逻辑炸弹”功能的蠕虫病毒,可感染移动存储介质,并将其作为媒介进行传播感染,易造成内网交叉感染和重复感染,且逻辑炸弹程序被激活后,会删除用户文件,造成数据损失。
根据安全公司分析,该蠕虫病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2月4日。
为避免受到incaseformat蠕虫病毒攻击,遭受损失,请广大师生注意防范处理,做好数据备份:
一、若未出现感染现象(其他磁盘文件还未被删除):
1、务必对所有设备安装杀毒软件;如果有使用edr,请检查edr加固策略(主要检查实时监控是否有开启),如果没有安装杀毒软件,可以先部署测试edr。
2、及时对重要数据进行备份;
3、对所有设备进行安全扫描检查,关闭涉及到的电脑本机、服务器本机、网络设备、安全设备的135-139、445 等高危端口;
4、使用U盘等外设前,使用安全软件关闭自动播放功能,且对外接设备进行扫描后再继续使用。
5、如果已经中毒,电脑一定不要重启,如若重启数据将会丢失!
二、若已出现感染现象(其他磁盘文件已被删除):
1、使用安全软件进行全盘查杀,清除病毒残留;
2、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;
切记不要对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius 等)尝试恢复被删除数据。
三、查杀工具
深信服EDR:
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
绿盟科技EDR:
https://cd001.www.duba.net/duba/install/packages/ever/kinstnui_150_12.exe
瑞星EDR:
https://120.236.114.197:16143/index.php/instal/downloadPackage?filename=windows_1610554428.exe
安天智甲终端防御系统(IEP):
http://www.antiy.com/download/IEP/setup.zip
为防范此类安全威胁,向师生提出建议如下:
一、做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
二、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
三、注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。
四、规范U盘等移动介质的使用,使用前先进行查杀。
五、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
六、不要打开来历不明或可疑的电子邮件和附件。
七、注意个人手机安全,安装手机杀毒软件,从可靠安全的手机市场下载手机应用程序。
参考资料:
【紧急预警】关于爆发的 incaseformat 病毒事件分析
https://mp.weixin.qq.com/s/qAIzFhDbWt2OMl2-0XOdVA
为何incaseformat病毒今日集中爆发,下次爆发时间为?
https://mp.weixin.qq.com/s/4i5JErLkSCf6hV8mPIWUmw
Incaseformat病毒来势汹汹,请广大用户提高警惕
https://mp.weixin.qq.com/s/lwYLapephS57bnpps706XA
红色预警!蠕虫病毒incaseformat全面爆发
https://mp.weixin.qq.com/s/43gVN4DFc0gxjG8-SWwphw
最新暴力蠕虫病毒“incaseformat”来袭!360安全卫士轻松拿下!
https://mp.weixin.qq.com/s/MxI-ytdRBak67uq4PPww1A
蠕虫携带逻辑炸弹,安天智甲早已设防
https://mp.weixin.qq.com/s/M0pxUZ4cK5O3orcsV2I3eQ