Incaseformat蠕蟲爆發，刪除磁碟檔案，美創諾亞防勒索可防禦！

近日， 美創安全實驗室監測到一種名為incaseformat的蠕蟲病毒在國內大爆發，該病毒將刪除磁碟檔案，對使用者造成不可挽回的損失，美創諾亞防勒索可有效防禦。

現已發現多個區域不同行業使用者遭到感染。該蠕蟲病毒執行後會複製到系統盤windows目錄下，並建立登錄檔自啟動，一旦使用者重啟主機，使得病毒母體從Windows目錄執行，病毒程式將會遍歷除系統盤外的所有磁碟檔案進行刪除，對使用者造成不可挽回的損失。

01 病毒情況

美創安全實驗室第一時間拿到相關病毒樣本， 經virustotal 檢測，確認為 incaseformat蠕蟲病毒。

virustotal 檢測

incaseformat蠕蟲病毒在windows下顯示的圖示形狀為資料夾圖示，具有一定的欺騙性。

 

當蠕蟲病毒在windows目錄下執行時，會修改登錄檔

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt的值為1：

修改後

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue的值為0。

 

這麼做是為了關閉windows字尾顯示，因為病毒圖示做了偽裝，從而達到了讓使用者誤以為這是一個資料夾的目的。

當病毒在非windows目錄下執行時，會複製副本至C:\windows\tsay.exe，並建立RunOnce登錄檔值設定開機自啟。一旦使用者重啟主機，病毒程式將會刪除除了系統盤外的所有路徑下的檔案。

02防護措施

美創諾亞防勒索系統可抵禦incaseformat蠕蟲病毒刪除檔案的行為，以下為諾亞防勒索針對這款勒索病毒的防護效果。

 

美創諾亞防勒索可透過服務端統一下發策略並更新。預設策略可保護office文件【如想保護資料庫檔案可透過新增策略一鍵保護】。

 

·        開啟諾亞防勒索的情況下：

雙擊執行病毒檔案，當incaseformat蠕蟲病毒病毒嘗試刪除被保護檔案，諾亞防勒索提出警告並攔截該行為。

開啟諾亞防勒索

檢視系統上被測試的檔案，檔案未被刪除且可被正常開啟，成功防護incaseformat蠕蟲病毒對被保護檔案的惡意行為。

 

·        開啟堡壘模式的情況下：

為保護系統全部檔案，可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端，例如ATM機，ATM機的終端基本不太會更新，那麼堡壘模式提供一種機制：任何開啟堡壘模式之後再進入終端的可執行檔案都將被阻止執行，從而實現諾亞防勒索的最強防護模式。

 

執行在堡壘模式下，執行incaseformat蠕蟲病毒，立刻被移除到隔離區，因此可阻止任何未知病毒的執行。

開啟堡壘模式

由於該病毒只有在Windows目錄下執行時會觸發刪除檔案行為，重啟會導致病毒在Windows目錄下自啟動。因此，美創安全實驗室建議廣大使用者在未做好安全防護及病毒查殺工作前請勿重啟主機，並注意日常防範措施，以儘可能避免損失：

1、及時給電腦打補丁，修復漏洞。
2、嚴格規範隨身碟等移動介質的使用，使用前先進行查殺；
3、重要的文件、資料定期進行非本地備份，一旦檔案損壞或丟失，也可以及時找回。
4、不要點選來源不明的郵件附件，不從不明網站下載軟體，警惕偽裝為瀏覽器更新或者flash更新的病毒。
5、儘量關閉不必要的檔案共享。
6、儘量關閉不必要的埠，如139、445、3389等埠，降低被攻擊的風險。