记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【安全风险通告】不必恐慌,奇安信天擎可防可杀,incaseformat病毒事件安全风险通告

2021-01-14 02:05

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



奇安信CERT监测到格格病毒(incaseformat)会在13日发作,表现为电脑中招后,除系统C盘以外其他文件全部被删除。奇安信CERT研判,该病毒为多年前的老病毒,不具网络传播性,奇安信天擎可支持该病毒查杀和预防,已安装天擎用户不受任何影响,请客户不必恐慌。




事件描述

格格病毒(incaseformat)13日发作,电脑中招后,除系统C盘以外其他文件全部被删除。奇安信CERT研判,该病毒为多年前的老病毒,不具网络传播性,奇安信天擎可支持该病毒查杀和预防,已安装天擎用户不受任何影响,不必恐慌。

奇安信安全团队发现,格格病毒通过U盘等移动存储介质传播,具备定时删除文件的能力,会在特定时间定时发作,删除电脑中除C盘之外的其他盘符中的所有文件,并在磁盘根目录创建“incaseformat.txt”文本文档。

奇安信安全专家表示,关于此次格格病毒发作事件,有以下四个需要注意的事实:

1、1月13日是一个“病毒发作事件”,不是“病毒传播事件”。这个病毒类似“定时炸弹”,如果在机器中潜伏,1月13会发作。

2、病毒没有网络传播性,不必恐慌。它是通过U盘和文件共享传播的老病毒,最早出现在几年前,一般没有安装杀毒软件的电脑才会中招。

3、因为该病毒定时发作,如果1月13未开电脑,建议明日再开机杀毒。

4、对于已经中招的电脑,把专杀放在U盘上启动,待杀毒完成后,可请专业公司恢复数据。

 

病毒相关信息如下:

【恶意程序家族】:incaseformat

【关键字】:#incaseformat.txt    #tsay.exe   #ttry.exe   

【家族详情】:

病毒类型:蠕虫

传播方式:

1. U盘隐藏正常文件夹,并替换为同名样本母体

行为特征:

1. 运行后拷贝副本至C:\windows\tsay.exe、C:\windows\ttry.exe

2. 创建注册表启动项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa  C:\windows\tsay.exe

重启后启动项中的母体文件运行,并删除系统盘以外盘符所有文件,然后释放大小为0kb的文件incaseformat.txt。



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



处置建议

1. 提高员工安全意识,使用U盘前用杀毒软件进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。

2. 提升内网杀毒软件覆盖率,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新。

3. 对于不慎感染的终端,使用奇安信天擎进行全盘查杀。查杀前确认信任区是否不明文件,清理信任区之后再进行全盘扫描。

尚未安装的奇安信天擎的用户,可以使用奇安信“格格病毒”(incaseformat)专杀工具,对系统进行全盘扫描,并清除病毒。清理完病毒之后尝试使用专业数据恢复工具或寻找第三方数据恢复公司进行数据恢复。

专杀工具下载地址:http://dl.qianxin.com/skylar6/FocusTool.latest.zip



产品解决方案

奇安信天擎终端安全管理系统解决方案

使用奇安信天擎进行全盘查杀。查杀前确认信任区是否不明文件,清理信任区之后再进行全盘扫描。



参考资料

https://mp.weixin.qq.com/s/k_Uhuvd8kumo5MSlj-HFkA



时间线

2020年1月14日,奇安信 CERT发布安全风险通告



点击阅读原文下载专杀工具

知识来源: https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247491766&idx=1&sn=b921e67d8fe99da242bcffe21a8cca63

阅读:5481 | 评论:0 | 标签:安全 病毒

想收藏或者和大家分享这篇好文章→复制链接地址

“【安全风险通告】不必恐慌,奇安信天擎可防可杀,incaseformat病毒事件安全风险通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云