近日,一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件并将其删除,对用户造成不可挽回的损失!
目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。
incaseformat病毒起源
iincaseformat是2014年之前就已发现的病毒。因该病毒导致IMSecsPerDay 变量值发生错误,最终使 DecodeDate 计算转换当前系统时间错误。因上述原因,该样本作为一个老病毒,直至2021年1月13日才触发删除用户文件的代码逻辑。
它是如何传播的?
该病毒传播的主要途径是U盘、Winbdows共享、邮件等,若只是以电脑安装杀毒软件来应对该病毒远远不够,incaseformat比常见的蠕虫病毒要更加“聪明”,它会伪装成文件夹图标,且具有定时删除文件的逻辑。甚至,它能将自己放进杀毒软件的信任区,顺利躲过杀毒软件的拦截,一旦满足设定时间,便开始隐藏C盘外其他磁盘文件,并对应生成文件夹图标的exe文件,此时很多文件已被病毒侵害。
incaseformat蠕虫病毒具备超强传播性,一旦控制一台计算机,就会将其当成宿主,不断自我复制从而感染其他计算机,使得中毒数量呈倍数增长!因会伪装成其他文件,所以能躲过安全软件的查杀,学校、打印店、企业都是蠕虫病毒的重灾区!
该如何防范?
1.规范U盘使用
该病毒传播的主要途径是U盘、Winbdows共享、邮件等,但由于该病毒具有很强的伪装性,因此仅仅安装杀毒软件是远远不够的,最有效的方法是终端少用或者禁用U盘等外接存储设备。因此需要严格规范U盘等移动介质的使用,使用前先进行查杀。已安装金盾NACP网络准入控制系统的用户可通过控制台批量对终端下发策略实现U盘禁用。
2.关闭共享
关闭不必要的共享或设置共享目录为只读模式,金盾NACP网络准入控制系统可对终端批量下发策略实现禁用windows共享效果。
3.安全访问
不点击来源不明的邮件附件,不访问可疑的网址。
4.定期备份
定期备份电脑中的重要文件资料至移动硬盘或U盘中。
金盾NACP网络准入控制系统基于全面内网安全管理理念和可信计算理论,对终端计算机提供可信认证接入、终端安全管理等安全支撑,解决用户“网络接入不可知、非法外联不可控、违规行为不可管”的IT管理问题,为单位提供全方位、一体化的网络安全管理解决方案。广泛适用于政府、公检法、医疗、金融、企业、运营商等行业领域,助力用户解决网络安全管理当中存在的安全隐患与管理难题,为网络安全建设保驾护航!
(责任编辑:mingchao)
