重磅預(yù)警！incaseformat 蠕蟲病毒大范圍爆發(fā)，20s 刪除用戶文件

技術(shù)編輯：芒果果丨發(fā)自 思否編輯部

---

1 月 13 日晚，360、深信服等安全公司發(fā)布了緊急預(yù)警，稱監(jiān)測(cè)到蠕蟲病毒 incaseformat 大范圍爆發(fā)，已有多家公司發(fā)生磁盤數(shù)據(jù)被刪事件。

該蠕蟲病毒主要通過 U 盤傳播，感染用戶機(jī)器后會(huì)通過 U 盤自我復(fù)制感染到其他電腦。病毒啟動(dòng)后會(huì)自動(dòng)復(fù)制到 C：WINDOWStsay.exe，待計(jì)算機(jī)重新啟動(dòng)后在開機(jī) 20s 內(nèi)刪除用戶數(shù)據(jù)。

據(jù)安全監(jiān)測(cè)機(jī)構(gòu)預(yù)計(jì)，incaseformat 蠕蟲病毒可能會(huì)在 1 月 23 日再次爆發(fā)，建議用戶提前做好預(yù)防數(shù)據(jù)丟失的防范工作。

---

蠕蟲病毒大范圍爆發(fā)，開機(jī) 20s 刪除用戶文件

安全監(jiān)測(cè)機(jī)構(gòu)分析發(fā)現(xiàn)，該蠕蟲病毒是通過 DeleteFileA 和 RemoveDirectory 代碼對(duì)計(jì)算機(jī)內(nèi)的文件進(jìn)行了刪除。該病毒還能自動(dòng)復(fù)制到 C:WINDOWStsay.exe 創(chuàng)建啟動(dòng)項(xiàng)后退出，計(jì)算機(jī)再次啟動(dòng)后會(huì)在開機(jī) 20s 開始刪除用戶文件。

據(jù)了解，這已經(jīng)不是該蠕蟲病毒第一次爆發(fā)了，早在 2014 年就發(fā)生過類似事件。

目前，國(guó)內(nèi)已有多個(gè)地區(qū)的不同行業(yè)用戶受到該蠕蟲病毒影響，但暫時(shí)還沒發(fā)現(xiàn)該病毒具有何種傳播范圍的針對(duì)性。

---

病毒只在 Windows 目錄下運(yùn)行

據(jù)深信服安全研究團(tuán)隊(duì)介紹，該蠕蟲病毒只有在 Windows 目錄下執(zhí)行時(shí)，才會(huì)觸發(fā)刪除文件行為。在非 Windows 目錄下執(zhí)行時(shí)，病毒會(huì)自動(dòng)復(fù)制到系統(tǒng)盤的 Windows 目錄下，創(chuàng)建 RunOnce 注冊(cè)表值設(shè)置開機(jī)自啟，并將自己偽裝成正常文件。

當(dāng)蠕蟲病毒在 Windows 目錄下執(zhí)行時(shí)，會(huì)再次在同目錄下自復(fù)制，并修改如下注冊(cè)表項(xiàng)調(diào)整隱藏文件：

遍歷刪除系統(tǒng)盤外所有的文件后，該蠕蟲病毒會(huì)在根目錄留下名為 incaseformat.log 的空文件：

---

專家發(fā)布安全建議：

incaseformat 蠕蟲病毒大范圍爆發(fā)后，多家安全機(jī)構(gòu)已經(jīng)緊急發(fā)布了病毒掃描版本支持檢測(cè)計(jì)算機(jī)的病毒。

安全專家建議，如果計(jì)算機(jī)內(nèi)已有病毒感染，應(yīng)立即斷開網(wǎng)絡(luò)，并使用殺毒軟件進(jìn)行全面查殺，可嘗試使用數(shù)據(jù)恢復(fù)軟件進(jìn)行數(shù)據(jù)恢復(fù)。

安全建議：

• 不要打開未知來源文件；
• 不要下載安裝非官方網(wǎng)站的軟件；
• 不要選擇“隱藏已知文件的擴(kuò)展名”；
• 禁止 U 盤自動(dòng)運(yùn)行；
• 使用高強(qiáng)度密碼并定期更換；
• 注意備份重要文件。

---

-?END -