??
近日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一種名為incaseformat的病毒,全國(guó)各個(gè)區(qū)域都出現(xiàn)了被incaseformat病毒刪除文件的用戶(hù)。
經(jīng)調(diào)查,該蠕蟲(chóng)正常情況下表現(xiàn)為文件夾蠕蟲(chóng),執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤(pán)Windows目錄下,并創(chuàng)建注冊(cè)表自啟動(dòng),一旦用戶(hù)重啟主機(jī),使得病毒母體從Windows目錄執(zhí)行,病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤(pán)外的所有磁盤(pán)文件進(jìn)行刪除,對(duì)用戶(hù)造成不可挽回的損失。該病毒于 1 月 13 日集中爆發(fā)是由于病毒代碼中內(nèi)置了部分特殊日期,在匹配到對(duì)應(yīng)日期后會(huì)觸發(fā)蠕蟲(chóng)的刪除文件功能,爆發(fā)該蠕蟲(chóng)事件的用戶(hù)感染時(shí)間應(yīng)該早于 1 月 13 號(hào),根據(jù)分析推測(cè),下次觸發(fā)刪除文件行為的時(shí)間約為 2021 年 1 月 23 日和 2 月 4 日。為此深信服免費(fèi)提供了查殺工具incaseformat病毒幫助廣大用戶(hù)檢測(cè)查殺incaseformat。
據(jù)了解,該蠕蟲(chóng)病毒在非Windows目錄下執(zhí)行時(shí),并不會(huì)產(chǎn)生刪除文件行為,但會(huì)將自身復(fù)制到系統(tǒng)盤(pán)的Windows目錄下,創(chuàng)建RunOnce注冊(cè)表值設(shè)置開(kāi)機(jī)自啟,且具有偽裝正常文件夾行為:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
當(dāng)蠕蟲(chóng)病毒在Windows目錄下執(zhí)行時(shí),會(huì)再次在同目錄下自復(fù)制,并修改如下注冊(cè)表項(xiàng)調(diào)整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt ->0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue ->0x0
最終遍歷刪除系統(tǒng)盤(pán)外的所有文件,在根目錄留下名為incaseformat.log的空文件。
情況看似簡(jiǎn)單,但令人不解的是,該蠕蟲(chóng)是通過(guò)什么方式進(jìn)行傳播的呢?又為何會(huì)集中爆發(fā)?
經(jīng)過(guò)深信服安全專(zhuān)家對(duì)病毒文件和威脅情報(bào)的詳細(xì)分析,有了新的發(fā)現(xiàn)。該蠕蟲(chóng)病毒由Delphi語(yǔ)言編寫(xiě),最早出現(xiàn)于 2009 年,此后每年都有用戶(hù)在網(wǎng)絡(luò)上發(fā)帖求助該病毒的解決方案。
正常情況下,該病毒表現(xiàn)為一種文件夾蠕蟲(chóng),和其他文件夾蠕蟲(chóng)病毒一樣,通過(guò)文件共享或移動(dòng)設(shè)備進(jìn)行傳播,并會(huì)在共享目錄或移動(dòng)設(shè)備路徑下將正常的文件夾隱藏,自己則偽裝成文件夾的樣子。
然而,與其他文件夾蠕蟲(chóng)不同的是,incaseformat蠕蟲(chóng)病毒在代碼中內(nèi)置了一顆“定時(shí)炸彈”,蠕蟲(chóng)會(huì)獲取受感染主機(jī)的當(dāng)前時(shí)間, 獲取到時(shí)間后,程序與指定的時(shí)間進(jìn)行了比對(duì),當(dāng)條件為:
年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29
即 2009 年后,每個(gè)大于 3 月的 1 號(hào)、 10 號(hào)、 21 號(hào)和 29 號(hào)時(shí)會(huì)觸發(fā)刪除文件操作。
然后通過(guò)DecodeDate函數(shù)拆分日期,奇妙的是,該程序中的Delphi庫(kù)可能出現(xiàn)了錯(cuò)誤,DateTimeToTimeStamp用于計(jì)算的一個(gè)變量發(fā)生異常:
導(dǎo)致轉(zhuǎn)換后的時(shí)間與真實(shí)的主機(jī)時(shí)間并不相符,因此真實(shí)觸發(fā)時(shí)間與程序設(shè)定條件不相同(原本 2010 年愚人節(jié)的啟動(dòng)時(shí)間,錯(cuò)誤轉(zhuǎn)換成了 2021 年 1 月 13 日,本次病毒爆發(fā)可能是遲到的愚人節(jié)玩笑):
分析人員計(jì)算隨后會(huì)觸發(fā)刪除文件操作的日期為, 2021 年 1 月 23 和 2 月 4 號(hào):
由于文件夾蠕蟲(chóng)感染后沒(méi)有給主機(jī)帶來(lái)明顯的損失,大多數(shù)用戶(hù)都會(huì)疏于防范,且文件蠕蟲(chóng)主要通過(guò)文件共享和移動(dòng)設(shè)備傳播,一旦感染后容易快速蔓延內(nèi)網(wǎng),很多此次爆發(fā)現(xiàn)象的主機(jī)可能在很早前就已經(jīng)感染。還有一些主機(jī)已經(jīng)潛伏該病毒用戶(hù)很可能會(huì)在 2021 年 1 月 23 和 2 月 4 號(hào)被刪除數(shù)據(jù)。
對(duì)此,深信服安全團(tuán)隊(duì)也針對(duì)該蠕蟲(chóng)病毒向廣大用戶(hù)提出防范建議:
若主機(jī)未出現(xiàn)感染現(xiàn)象(其他磁盤(pán)文件還未被刪除):
1、不隨意重啟主機(jī),先使用安全軟件進(jìn)行全盤(pán)查殺,并開(kāi)啟實(shí)時(shí)監(jiān)控等防護(hù)功能;
2、 不隨意下載安裝未知軟件,盡量在官方網(wǎng)站進(jìn)行下載安裝;
3、 盡量關(guān)閉不必要的共享,或設(shè)置共享目錄為只讀模式;深信服安全團(tuán)隊(duì)提到深信服EDR用戶(hù)可使直接用微隔離功能封堵共享端口;
4、 嚴(yán)格規(guī)范U盤(pán)等移動(dòng)介質(zhì)的使用,使用前先進(jìn)行查殺;
5、 重要數(shù)據(jù)做好備份;
若主機(jī)已出現(xiàn)感染現(xiàn)象(其他磁盤(pán)文件已被刪除)則:
1、 使用安全軟件進(jìn)行全盤(pán)查殺,清除病毒殘留;
2、 可嘗試使用數(shù)據(jù)恢復(fù)類(lèi)工具進(jìn)行恢復(fù),恢復(fù)前盡量不要占用被刪文件磁盤(pán)的空間,由于病毒操作的文件刪除并沒(méi)有直接從磁盤(pán)覆蓋和抹去數(shù)據(jù),可能仍有一定幾率進(jìn)行恢復(fù);
深信服也為廣大用戶(hù)提供免費(fèi)檢測(cè)查殺工具,可聯(lián)系深信服人員獲取。
與此同時(shí),深信服安全感知平臺(tái)、下一代防火墻、EDR用戶(hù),建議及時(shí)升級(jí)最新版本,并接入安全云腦,使用云查服務(wù)以及時(shí)檢測(cè)防御新威脅。
最后,也再次提醒廣大用戶(hù),安全無(wú)小事,一定要做好重要數(shù)據(jù)備份,以及主機(jī)安全防護(hù)措施,才能防患于未然!
