在線客服
聯系電話
+86 400-887-6000

    
    

    <th id="gnhum"></th>
      <thead id="gnhum"><cite id="gnhum"><s id="gnhum"></s></cite></thead>
      <samp id="gnhum"><sup id="gnhum"></sup></samp>
      1. <nav id="gnhum"></nav>
      2. <object id="gnhum"><noframes id="gnhum"><progress id="gnhum"></progress></noframes></object><progress id="gnhum"></progress>
        <del id="gnhum"><td id="gnhum"></td></del>
      3. Incaseformat病毒來襲?中控supCERT教你如何應對!

        2021年1月13日,一種名為incaseformat的蠕蟲病毒在全國各地爆發,浙江中控技術股份有限公司工控網絡安全應急響應中心supCERT也接到客戶反映磁盤文件被清空,疑似中了該病毒,并有多個客戶咨詢中控安全防護產品能否防御此次爆發的病毒,supCERT安全工程師得到樣本后第一時間對病毒進行分析。

        Incaseformat病毒來襲?中控supCERT教你應對

        病毒機理分析

        樣本文件名: tsay.exe/ttry.exe

        文件大小: 496640 字節

        MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E

        SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA

        CRC32: AFE5FF81

        210114jswx1.png

        圖1 病毒詳情

        210114jswx2.png

        圖2 病毒文件

        該病毒使用delphi編寫,病毒會偽裝為文件夾圖標,感染病毒后,病毒會將自身復制到C:\Windows目錄下,并創建注冊表自啟動項

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

        210114jswx3.png

        圖3 自身復制

        210114jswx4.png

        圖4 寫注冊表自啟動

        當病毒在C:\Windows目錄下運行時,會修改注冊表禁用顯示隱藏文件,并判斷系統時間,滿足條件時遍歷磁盤,刪除除C盤外的所有文件,并在根目錄留下incaseformat.log文件。

        210114jswx5.png

        圖5 修改注冊表

        210114jswx6.png

        圖6 刪除文件生成incaseformat.log

        值得注意的是作為一個老病毒,因為使用了delphi庫中的 DateTimeToTimeStamp 函數中 IMSecsPerDay 變量的值錯誤,最終導致 DecodeDate 計算轉換出的系統當前時間錯誤,直到2021年1月13日才觸發了刪除文件的代碼邏輯,導致大規模爆發。該病毒設定的刪除日期不止1月13日,距離最近的下一次刪除時間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的風險。


        解決方案

        Incaseformat病毒來襲?中控supCERT教你應對

        經supCERT驗證,該病毒不具備網絡傳播的功能,主要是通過USB等設備傳播且只有在C:\Windows目錄下運行時才會執行刪除文件等惡意操作,而重啟電腦則是導致其執行惡意操作的主要途徑。

        若發現 C:\Windows目錄下存在名為tsay.exe/ttry.exe的病毒文件,可以直接刪除病毒文件,在刪除之前請不要重啟電腦。然后排查注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce是否存在病毒的自啟動項。

        經驗證,在安裝了中控主機安全衛士VxDefender的電腦上開啟白名單防護功能,并確認白名單列表中未包含tsay.exe和ttry.exe文件,則無論重啟或是直接雙擊運行C:\Windows目錄下的病毒文件,都可以成功攔截incaseformat病毒。

        210114jswx7.png

        圖7 主機安全衛士主界面

        210114jswx8.png

        圖8 程序白名單攔截提示

        210114jswx9.png

        圖9 程序白名單攔截提示

        210114jswx10.png

        圖10 程序白名單攔截日志

        中控主機安全衛士專業版VxDefender Pro已內置黑名單殺毒引擎,可使用病毒查殺功能成功查殺隔離該病毒,有效地保證工業主機的安全穩定運行。

        210114jswx11.png

        圖11 主機安全衛士專業版病毒查殺功能

        Incaseformat病毒來襲?中控supCERT教你應對

        安全建議

        Incaseformat病毒來襲?中控supCERT教你應對

        1. 不要下載或點擊未知來源的文件

        2. 嚴格規范U盤等移動存儲設備的使用

        3. 安裝殺毒軟件,定期進行掃描殺毒

        4. 安裝主機安全防護產品


        更多信息