Incaseformat蠕蟲爆發,刪除磁碟檔案,美創諾亞防勒索可防禦!
近日,
美創安全實驗室監測到一種名為incaseformat的蠕蟲病毒在國內大爆發,該病毒將刪除磁碟檔案,對使用者造成不可挽回的損失,美創諾亞防勒索可有效防禦。
現已發現多個區域不同行業使用者遭到感染。該蠕蟲病毒執行後會複製到系統盤windows目錄下,並建立登錄檔自啟動,一旦使用者重啟主機,使得病毒母體從Windows目錄執行,病毒程式將會遍歷除系統盤外的所有磁碟檔案進行刪除,對使用者造成不可挽回的損失。
01 病毒情況
美創安全實驗室第一時間拿到相關病毒樣本, 經virustotal 檢測,確認為 incaseformat蠕蟲病毒。
virustotal 檢測
incaseformat蠕蟲病毒在windows下顯示的圖示形狀為資料夾圖示,具有一定的欺騙性。
當蠕蟲病毒在windows目錄下執行時,會修改登錄檔
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt的值為1:
修改後
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue的值為0。
這麼做是為了關閉windows字尾顯示,因為病毒圖示做了偽裝,從而達到了讓使用者誤以為這是一個資料夾的目的。
當病毒在非windows目錄下執行時,會複製副本至C:\windows\tsay.exe,並建立RunOnce登錄檔值設定開機自啟。一旦使用者重啟主機,病毒程式將會刪除除了系統盤外的所有路徑下的檔案。
02防護措施
美創諾亞防勒索系統可抵禦incaseformat蠕蟲病毒刪除檔案的行為,以下為諾亞防勒索針對這款勒索病毒的防護效果。
美創諾亞防勒索可透過服務端統一下發策略並更新。預設策略可保護office文件【如想保護資料庫檔案可透過新增策略一鍵保護】。
· 開啟諾亞防勒索的情況下:
雙擊執行病毒檔案,當incaseformat蠕蟲病毒病毒嘗試刪除被保護檔案,諾亞防勒索提出警告並攔截該行為。
開啟諾亞防勒索
檢視系統上被測試的檔案,檔案未被刪除且可被正常開啟,成功防護incaseformat蠕蟲病毒對被保護檔案的惡意行為。
· 開啟堡壘模式的情況下:
為保護系統全部檔案,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端,例如ATM機,ATM機的終端基本不太會更新,那麼堡壘模式提供一種機制:任何開啟堡壘模式之後再進入終端的可執行檔案都將被阻止執行,從而實現諾亞防勒索的最強防護模式。
執行在堡壘模式下,執行incaseformat蠕蟲病毒,立刻被移除到隔離區,因此可阻止任何未知病毒的執行。
開啟堡壘模式
由於該病毒只有在Windows目錄下執行時會觸發刪除檔案行為,重啟會導致病毒在Windows目錄下自啟動。因此,美創安全實驗室建議廣大使用者在未做好安全防護及病毒查殺工作前請勿重啟主機,並注意日常防範措施,以儘可能避免損失:
1、及時給電腦打補丁,修復漏洞。
2、嚴格規範隨身碟等移動介質的使用,使用前先進行查殺;
3、重要的文件、資料定期進行非本地備份,一旦檔案損壞或丟失,也可以及時找回。
4、不要點選來源不明的郵件附件,不從不明網站下載軟體,警惕偽裝為瀏覽器更新或者flash更新的病毒。
5、儘量關閉不必要的檔案共享。
6、儘量關閉不必要的埠,如139、445、3389等埠,降低被攻擊的風險。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2750016/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 20s刪除使用者檔案的incaseformat蠕蟲病毒大爆發!ORM
- 勒索軟體2.0時代,美創科技諾亞防勒索如何構建主動防禦體系?
- 美創諾亞防勒索系統助力合肥市財政局防範勒索病毒攻擊
- 磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒dev
- 刪除安全軟體的登錄檔設定的蠕蟲(轉)
- 勒索病毒如何防禦?交科所聯合美創科技給出實踐方案
- 我國研發出勒索病毒防禦軟體:能阻止其破壞檔案
- 亞信安全釋出防範WannaCry/Wcry蠕蟲勒索病毒緊急通告!
- 瓦解勒索病毒突襲,三大真實案例披露美創“諾亞”防毒之路防毒
- 醫療行業防禦勒索病毒的三原則 ——美創醫療資料安全11行業
- c盤爆紅了可以刪除哪些檔案 怎樣刪除c盤非系統檔案
- 整合式防禦可防止安全防範系統被拖垮
- 磁碟已滿,如何從 Mac 中刪除大檔案?Mac
- 蠕蟲WannaCry病毒只是勒索軟體猖獗的開始?
- 刪除檔案
- 新病毒勒索者肆虐 能刪除檔案向使用者勒索錢財
- win10怎麼防禦勒索病毒_win10預防勒索病毒的方法Win10
- Redis勒索事件爆發,如何避免從刪庫到跑路?Redis事件
- SVN !檔案刪除
- rm 刪除檔案
- 檔案的刪除
- 批次刪除檔案
- Git——刪除檔案Git
- 資安業者:勒索蠕蟲WannaCry依然潛伏全球計算機計算機
- antixss防禦xss DLL庫檔案
- Git刪除指定檔案Git
- dll檔案刪除不了
- 如何使用資料庫Scheduler定時刪除歸檔|美創運維日記資料庫運維
- Linux下批量刪除空檔案或者刪除指定大小的檔案Linux
- 強制刪除歸檔檔案
- 刪除歸檔日誌檔案
- Linux檢視磁碟用量,以及殺死已刪除檔案的程式Linux
- ASM磁碟分割槽或者裝置檔案刪除後恢復的方法ASM
- PHP檔案上傳漏洞原理以及防禦姿勢PHP
- win10休眠檔案有必要刪除嗎 刪除休眠檔案的方法Win10
- u盤裡的檔案無法刪除 如何刪除u盤裡刪不掉的檔案
- 嚴防死守把蠕蟲病毒拒絕在系統之外(轉)
- Linux刪除檔案命令Linux