随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。 最近,Sangfor的安全团队检测到一种名为incaseformat的病毒,该incaseformat病毒删除的文件的用户已经出现在全国各地。 经过调查,在正常情况下,该蠕虫的行为类似于文件夹蠕虫。执行后,它将复制到系统磁盘的Windows目录并创建一个注册表以自动启动。用户重新启动主机后,病毒矩阵将从Windows目录执行。该过程将遍历除系统磁盘以外的所有磁盘文件以进行删除,从而给用户造成不可挽回的损失。该病毒于1月13日集中爆发是由于病毒代码中的内置特殊日期所致。匹配相应的日期后,将触发蠕虫的文件删除功能。爆发蠕虫事件的用户的感染时间应该早于1月13日。根据分析和推测,下次触发文件删除的时间大约是2021年1月23日和2021年2月4日。因此,Sangfor提供免费的防病毒工具incaseformat,可帮助用户检测和消除incaseformat。 可以理解,当蠕虫在非Windows目录中执行时,它不会删除文件,而是将自身复制到系统磁盘的Windows目录中,创建RunOnce注册表值并将其设置为在启动后自动启动。正在启动,并且具有伪装正常文件夹的行为: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ msfsa 值:C:\ windows \ tsay.exe 在Windows目录中执行该蠕虫时,它将再次在同一目录中进行自我复制,并修改以册表项以调整隐藏文件: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ HideFileExt-> 0x1 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ checkedvalue-> 0x0 最后遍历并删除系统磁盘之外的所有文件,在根目录中保留一个名为incaseformat.log的空文件。 情况似乎很简单,但是令人费解的是蠕虫如何传播?为什么要关注爆发? Sangfor安全专家对病毒文件和威胁情报进行了详细分析后,发现了新发现。该蠕虫是用Delphi语言编写的,于2009年首次出现。此后的每一年,用户都在Internet上发布以寻找该病毒的解决方案。 在正常情况下,该病毒表现为文件夹蠕虫。与其他文件夹蠕虫一样,它通过文件共享或移动设备传播,并在共享目录或移动设备路径下隐藏普通文件夹。 ,伪装成文件夹。 但是,与其他文件夹蠕虫不同,incaseformat蠕虫在代码中内置了“定时”。该蠕虫将获取被感染主机的当前时间。获得时间后,程序将按照指定的时间进行。为了进行比较,当条件为: 年份> 2009年,月份> 3,日期= 1或日期= 10或日期= 21或日期= 29 2009年之后,每次大于3月的第1、10、21和29日都会触发文件删除。 然后通过DecodeDate函数分割日期。令人惊讶的是,程序中的Delphi库中可能存在错误,并且DateTimeToTimeStamp用于计算的变量异常: 结果是,转换的时间与实际的主机时间不匹配,因此实际的触发时间与程序设置条件不同(2010年愚人节的原始开始时间错误地转换为1月13日, 2021.该病毒爆发可能是愚人节的笑话): 分析师计算,文件删除操作的后续触发日期为2021年1月23日和2月4日: 由于文件夹蠕虫感染不会给主机带来明显的损失,因此大多数用户会疏忽大意。文件蠕虫主要通过文件共享和移动设备传播。一旦被感染,它很容易传播到企业内部网。很多次爆发的宿主可能很久以前就已被感染。也有一些宿主感染了该病毒。用户可能会在2021年1月23日和2月4日删除其数据。 在这方面,Sangfor的安全团队还向大多数用户提出了针对该蠕虫的预防性建议: 如果主机没有被感染(其他磁盘文件尚未删除): 1、不要随意重启主机,首先使用安全软件检查并杀死整个磁盘,然后打开实时监视和其他保护功能; 2、不要随意下载并安装未知软件,请尝试在官方网站上下载并安装它; 3、尝试关闭不必要的共享或将共享目录设置为只读模式; Sangfor安全团队提到,Sangfor EDR用户可以使用微隔离功能直接阻止共享端口; 4、严格规范U盘等可移动媒体的使用,并在使用前检查并杀死它们; 5、备份重要数据; 如果主机已被感染(其他磁盘文件已被删除),则: 1、使用安全软件执行全面扫描并清除病毒残留; 2、您可以尝试使用数据恢复工具进行恢复,在恢复之前,请尽量不要占用已删除文件磁盘的空间,因为病毒删除文件操作不会直接覆盖和擦除磁盘上的数据,仍有一定机会可以恢复; Sangfor还为用户提供免费的检测和查杀工具,可以通过与Sangfor员工联系来获取。 同时,建议Sangfor安全意识平台,下一代防火墙和EDR用户及时升级到最新版本,连接到安全云大脑,并使用云检查服务来检测和防御新威胁。及时 最后,我还要再次提醒用户,安全性不是小事,必须采取重要的数据备份和主机安全保护措施,以防止出现问题!
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。 |
温馨提示:喜欢本站的话,请收藏一下本站!