莫恐慌!Incaseformat蠕蟲病毒發作,網御星云提供應急處置方案

2021-01-29 09:53:42

1月13日,一款“古老”的網絡蠕蟲病毒Incaseformat引發了全國范圍內多起磁盤數據被格式化,造成了數據大量丟失。網御星云專家團隊第一時間進行專項分析,在準確掌握情況之后,同步推出了應急處置方案。

重點信息

病毒名稱:

incaseformat、Worm.Win32.Autorun

傳播途徑:移動介質

危害程度:非系統分區數據刪除

觸發條件:隨電腦開機啟動

威脅預測:23日會再次爆發

處置方案:進程抑制、文件刪除

威脅 “緣由”

該病毒最早的出現時間約在2009年,由于病毒編碼中時間換算錯誤,導致了該病毒潛藏到10余年后才觸發后續行為,錯誤的執行了刪除文件的操作,即:

1.進行自復制(C:\windows\tsay.exe、C:\Windows\ttry.exe)

2.設置注冊表自啟動(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)

3.隱藏受保護的文件

4.觸發執行后續的文件刪除動作

防護 建議

1.建議檢查并確保共享目錄處于關閉狀態、主機防火墻處于開啟狀態,提前防患

2.病毒主要是通過U盤傳播,建議暫停使用U 盤等移動存儲工具

3.不打開未知文件、不點擊未知鏈接

4.威脅清除前不要重啟電腦

5.已中招的電腦,待專殺完成后,建議請專業團隊恢復數據

網御星云處置 方案

未安裝網御EDR用戶

1.排查并刪除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2.排查并刪除注冊表“msfsa”項

32位系統:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

64位系統:

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”

已安裝網御EDR用戶

1.開啟關鍵路徑信息變動采集并添加威脅路徑信息,持續監控預警

2.開啟注冊表信息變動采集并添加威脅路徑監控信息,持續監控預警

3.添加進程黑名單,抑制病毒運行

4.推送響應腳本,全網清除病毒威脅

5.回溯威脅入口,為后續安全整改提供支撐

網御終端高級威脅檢測與響應系統(簡稱網御EDR),發現、分析、處置安全威脅的同時提供完善的可視化回溯能力,協助管理人員定位威脅源頭。

溫馨提示

“關于incaseformat清除腳本”獲取方式,請聯系:

1.網御星云當地商務、技術人員

2.撥打網御星云熱線400-810-7766

網御星云公司將持續關注此病毒后續動態并及時提供解決方案,敬請期待!

關閉
捕鱼来了怎么刷金币 代玩幸运快三50一小时联系方式 体彩p5综合版走势图南方双彩网 福建快三开奖开奖结果 bbin游戏平台真人 南粤36选7最新开奖号码 江苏时时彩开奖网 2021海南环岛赛直播 bg视讯是真的吗 ds视讯10 江苏时时彩走势 快乐10分8个号任5复式中3个 浙江快乐彩汇总走势图 360彩票老时时彩历史开奖号码 澳门百家乐官网_Welcome 足彩预测网 快乐十分中奖条件及奖金