近日,美創(chuàng)安全實(shí)驗(yàn)室監(jiān)測到一種名為incaseformat的蠕蟲病毒在國內(nèi)大爆發(fā),已發(fā)現(xiàn)多個區(qū)域不同行業(yè)用戶遭到感染。該蠕蟲病毒執(zhí)行后會復(fù)制到系統(tǒng)盤windows目錄下,并創(chuàng)建注冊表自啟動,一旦用戶重啟主機(jī),使得病毒母體從Windows目錄執(zhí)行,病毒進(jìn)程將會遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除,對用戶造成不可挽回的損失。

01病毒情況

美創(chuàng)安全實(shí)驗(yàn)室第一時間拿到相關(guān)病毒樣本,經(jīng)virustotal 檢測,確認(rèn)為 incaseformat蠕蟲病毒。

incaseformat蠕蟲病毒在windows下顯示的圖標(biāo)形狀為文件夾圖標(biāo),具有一定的欺騙性。

當(dāng)蠕蟲病毒在windows目錄下執(zhí)行時,會修改注冊表

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt的值為1:

修改

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue的值為0

這么做是為了關(guān)閉windows后綴顯示,因?yàn)椴《緢D標(biāo)做了偽裝,從而達(dá)到了讓用戶誤以為這是一個文件夾的目的。

當(dāng)病毒在非windows目錄下運(yùn)行時,會拷貝副本至C:windows say．exe,并創(chuàng)建RunOnce注冊表值設(shè)置開機(jī)自啟。一旦用戶重啟主機(jī),病毒進(jìn)程將會刪除除了系統(tǒng)盤外的所有路徑下的文件。

02防護(hù)措施

美創(chuàng)諾亞防勒索系統(tǒng)可抵御incaseformat蠕蟲病毒刪除文件的行為,以下為諾亞防勒索針對這款勒索病毒的防護(hù)效果。

美創(chuàng)諾亞防勒索可通過服務(wù)端統(tǒng)一下發(fā)策略并更新。默認(rèn)策略可保護(hù)office文檔【如想保護(hù)數(shù)據(jù)庫文件可通過添加策略一鍵保護(hù)】。

開啟諾亞防勒索的情況下:

雙擊執(zhí)行病毒文件,當(dāng)incaseformat蠕蟲病毒病毒嘗試刪除被保護(hù)文件,諾亞防勒索提出警告并攔截該行為。

查看系統(tǒng)上被測試的文件,文件未被刪除且可被正常打開,成功防護(hù)incaseformat蠕蟲病毒對被保護(hù)文件的惡意行為。

開啟堡壘模式的情況下:

為保護(hù)系統(tǒng)全部文件,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端,例如ATM機(jī),ATM機(jī)的終端基本不太會更新,那么堡壘模式提供一種機(jī)制:任何開啟堡壘模式之后再進(jìn)入終端的可執(zhí)行文件都將被阻止運(yùn)行,從而實(shí)現(xiàn)諾亞防勒索的最強(qiáng)防護(hù)模式。

運(yùn)行在堡壘模式下,執(zhí)行incaseformat蠕蟲病毒,立刻被移除到隔離區(qū),因此可阻止任何未知病毒的執(zhí)行。

由于該病毒只有在Windows目錄下執(zhí)行時會觸發(fā)刪除文件行為,重啟會導(dǎo)致病毒在Windows目錄下自啟動。因此,美創(chuàng)安全實(shí)驗(yàn)室建議廣大用戶在未做好安全防護(hù)及病毒查殺工作前請勿重啟主機(jī),并注意日常防范措施,以盡可能避免損失:

1、及時給電腦打補(bǔ)丁,修復(fù)漏洞。

2、嚴(yán)格規(guī)范U盤等移動介質(zhì)的使用,使用前先進(jìn)行查殺;

3、重要的文檔、數(shù)據(jù)定期進(jìn)行非本地備份,一旦文件損壞或丟失,也可以及時找回。

4、不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件,警惕偽裝為瀏覽器更新或者flash更新的病毒。

5、盡量關(guān)閉不必要的文件共享。

6、盡量關(guān)閉不必要的端口,如139、445、3389等端口,降低被攻擊的風(fēng)險。