事件追蹤

　　2021年1月13日，Incaseformating病毒大面積爆發(fā)，引起了用戶的恐慌。病毒的感染對象為windows操作系統(tǒng)，中毒表現(xiàn)為除C盤其他數(shù)據(jù)分區(qū)全部被清空，只留下一個名為Incaseformat.log的文本文檔，該病毒也因此得名。

　　Incaseformat病毒時間戳為2007/3/3，2009年原始樣本首次出現(xiàn)，2010年原始樣本惡意行為首次觸發(fā)，2014年被篡改版本首次出現(xiàn)，2021年被篡改后樣本惡意行為首次觸發(fā)。預(yù)計1月23日會再次觸發(fā)攻擊行為。

　　Incaseformat病毒為常規(guī)蠕蟲病毒，目前已知唯一的傳播途徑為USB等接口的移動設(shè)備，傳播能力較弱。主流的安全軟件在運行狀態(tài)配置完善的前提下均能查殺此病毒，在廠商病毒庫中被命名為Worm.Win32.Autorun。

　　蠕蟲病毒主要作用于老舊版本的操作系統(tǒng)。多家主流安全廠商通告稱，經(jīng)客戶反應(yīng)，該病毒感染了全國各區(qū)域各行業(yè)的部分計算機系統(tǒng)，各地網(wǎng)信辦、數(shù)據(jù)監(jiān)測平臺及事業(yè)單位多進行了警報。

　?。▓D片轉(zhuǎn)載自360安全團隊）

　　病毒分析

　　Incaseformat病毒使用Borland Delphi語言編譯，原始文件名為Autorun.exe，產(chǎn)生衍生文件名為tsay.exe。

　　原始文件運行時，衍生Tsay.exe被釋放在C:\windows\tsay.exe，病毒會偽裝文件夾圖標(biāo)。

　　病毒會創(chuàng)建注冊表鍵值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　以實現(xiàn)自啟動，并禁用顯示隱藏文件

　　該病毒在電腦重啟后將執(zhí)行，釋放ttry.exe以執(zhí)行主邏輯。

　　此時除C盤外其它分區(qū)將被清空。該病毒將復(fù)制自身到每個被清空的分區(qū)根目錄下，命名為123并偽裝為文件夾圖標(biāo)并隱藏。還會強行篡改注冊表，導(dǎo)致系統(tǒng)中的“顯示系統(tǒng)隱藏文件”功能以及“顯示文件擴展名”功能失效。故在被清空的分區(qū)中只能看到Incaseformat.log的文本文檔。

　　如果U盤插入被感染的計算機，作為數(shù)據(jù)分區(qū)之一，同樣會被感染。被感染的U盤再插入其它主機，其中的執(zhí)行文件會作為原始文件運行。

　　原始病毒與被篡改后病毒唯一的不同為Sysutils::DateTimeToTimeStamp庫函數(shù)所使用的全局變量IMSecsPerDay（一天的總毫秒數(shù)）。函數(shù)庫內(nèi)代碼往往為人所忽略。此參數(shù)的變化使得攻擊事件被推遲到2021年1月13日。這可能是在測試過程中產(chǎn)生的bug，也可能是惡意人員有意為之。

　　處置建議

　　如果發(fā)現(xiàn)，主機有感染風(fēng)險

　　千！萬！不！要！關(guān)！機！或！重！啟！

　　可以使用主流安全軟件對系統(tǒng)進行查殺，注意白名單要嚴(yán)格管理。

　　如不具備安裝主流安全軟件的條件，可以：

　　停止下列進程：

　　tsay.exe

　　ttry.exe

　　刪除下列文件：

　　C:\windows\tsay.exe

　　C:\Windows\ttry.exe

　　刪除下列鍵值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　為防止病毒傳播，應(yīng)當(dāng)嚴(yán)格管理存儲介質(zhì)接入。

　　由于該病毒未對文件執(zhí)行破壞或覆蓋操作，大部分被刪除數(shù)據(jù)存在還原的可能。對于重要或敏感數(shù)據(jù)，請聯(lián)系專業(yè)機構(gòu)。

　?。ㄗ髡撸和跫液?，研發(fā)工程師，主要研究方向：滲透測試）