1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。
该蠕虫病毒主要通过 U 盘传播,感染用户机器后会通过 U 盘自我复制感染到其他电脑。病毒启动后会自动复制到 C:WINDOWStsay.exe,待计算机重新启动后在开机 20s 内删除用户数据。
据安全监测机构预计,incaseformat 蠕虫病毒可能会在 1 月 23 日再次爆发,建议用户提前做好预防数据丢失的防范工作。
蠕虫病毒大范围爆发,开机 20s 删除用户文件
安全监测机构分析发现,该蠕虫病毒是通过 DeleteFileA 和 RemoveDirectory 代码对计算机内的文件进行了删除。该病毒还能自动复制到 C:WINDOWStsay.exe 创建启动项后退出,计算机再次启动后会在开机 20s 开始删除用户文件。
据了解,这已经不是该蠕虫病毒第一次爆发了,早在 2014 年就发生过类似事件。
目前,国内已有多个地区的不同行业用户受到该蠕虫病毒影响,但暂时还没发现该病毒具有何种传播范围的针对性。
病毒只在 Windows 目录下运行
据深信服安全研究团队介绍,该蠕虫病毒只有在 Windows 目录下执行时,才会触发删除文件行为。在非 Windows 目录下执行时,病毒会自动复制到系统盘的 Windows 目录下,创建 RunOnce 注册表值设置开机自启,并将自己伪装成正常文件。
当蠕虫病毒在 Windows 目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:
遍历删除系统盘外所有的文件后,该蠕虫病毒会在根目录留下名为 incaseformat.log 的空文件:
专家发布安全建议:
安全专家建议,如果计算机内已有病毒感染,应立即断开网络,并使用杀毒软件进行全面查杀,可尝试使用数据恢复软件进行数据恢复。
安全建议:
1.阿姨,借你女儿一用,明年我还你两个孙子。 2.待我WIFI连上,看流量怎么嚣张...
比特币突破37000美元,根据比特币实时数据,比特币总市值5.33万亿港元,超越阿里...
苹果与Facebook的数据隐私之战,让大家对数据隐私有了更多的关注。平均一个应用...
澎湃新闻记者 叶映荷 比特币价格势一举突破17000美元。 11月17日,比特币价格在1...
疫情让远程办公深入人心,同时成为2021年网络安全工作需要解决的首要问题。远程...
最近浏览到一个知乎问题:某运营同学在试用期期间因为在工作期间上了某 1024 网...
同济大学区块链研究院院长马小峰表示,区块链技术将推动全球贸易的活跃度,因为...
2020年疫情这次黑天鹅事件加速了数字化转型进程。在这个背景下,远程办公、数字...
一个私钥(Private Key)就是一串随机提取的数字,拥有和控制私钥是用户控制与比...
特斯拉上海超级工厂监控系统遭入侵、骗子破解人脸识别系统虚开5亿发票、视频会议...