1 引言
近日,微步在线收到国内多家客户反馈办公设备被名为 incaseformat 蠕虫病毒感染,受害者机器中除了系统盘以外,其他文件全部被删除。
2 事件描述
2021年1月13日,incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。该病毒会格式化系统盘外的分区及删除数据,感染后会通过U盘进行传播,传播性强,隐蔽性高,危害性大。
安全工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。
根据工程师分析,该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒,最早可追溯至2009年,其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期(愚人节)来看,不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种,最早可追溯至2014年,并被设置在2021年1月13日爆发。
3 事件发生过程/攻击过程
3.1 病毒格式
incaseformat是基于木马的应用程序,可以接管目标计算机并破坏存储在其上的所有软件和数据。作为典型的特洛伊木马,Incaseformat可能还会窃取个人信息或在受感染的计算机内注入外部恶意软件,例如勒索软件或间谍软件。正如我们所说,该病毒属于特洛伊木马,因此应该通过多种伪装的网络内容秘密传播。在大多数情况下,Incaseformat的受害者并不知道他们在计算机中释放的是危险的特洛伊木马病毒。此外,通常没有明显的感染迹象,至少直到恶意软件完成其恶意程序后才可见。因此,受害者通常在相当长的一段时间内都不知道对其设备的攻击。
3.2 传播过程
incaseformat病毒由于编写时对某时间判断变量赋值错误,导致其在1月13日才触发并执行删除文件的代码逻辑。实际上该病毒可能在被感染主机上驻留多年,但由于缺少主机防病毒软件或白名单设置错误等原因,一直未能被发现。由于病毒本身只能通过 U 盘等移动介质进行传播,并无相关网络传播特征,此次在国内多个行业出现的大规模病毒感染事件,青永猜测可能与相关应用系统的供应链或厂商运维有关,如软件分发、更新升级、远程运维等,具体传播途径还需做进一步溯源分析。
3.3 对电脑发起攻击
恶意软件可能会默默地跟踪您的按键,屏幕以及所有在线和离线活动,而不会触发任何明显的迹象表明其存在。但是,如果对该木马进行编程以破坏您的操作系统,则您可能会开始遇到系统发行者,软件错误,突然崩溃,严重的运行速度下降和普遍不稳定的情况,这些危险可能会引起危险。
诸如Incaseformat之类的感染也可能在计算机内部插入其他病毒,例如Ransomware,如果发生这种情况,您会注意到文件突然变得不可访问。勒索赎金的通知也可能会出现在您的屏幕上。
如果您的某些文件已被删除,或者您的应用程序未经您的许可而修改了设置,这也可能意味着感染了特洛伊木马。
4 病毒处置过程
针对本次突发的incaseformat 病毒,青莲网络安全服务团队提供如下几种病毒处置建议:
- 主机排查
排查主机 Windows 目录下是否存在图标为文件夹的 tsay.exe 文件,若存在该文件,及时 删除即可,删除前切勿对主机执行重启操作。
- 数据恢复
切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软 件(如:Finaldata、recuva、DiskGenius 等)即可恢复被删除数据。
3.病毒清理
由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:
通过任务管理器结束病毒相关进程(ttry.exe) ;
删除 Windows 目录下驻留文件 tsay.exe 和 ttry.exe 及注册表相关启动项(RunOnce);
恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项。
5 防御手段/安全建议
1.办公设备不使用 U 盘等移动存储工具,在必要情况下,使用前进行 U 盘查杀。
2.不随便打开共享文件,并通过正规官方渠道下载软件。
3.关闭文件共享目录或者设置共享目录为只读模式。
4.保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等。
5.机器中招后首先进行查杀处置,清除病毒后,可使用第三方数据恢复工具尝试进行恢复。查杀工具可使用 USBCleaner(http://www.usbcleaner.cn) 或者其他杀毒软件。
6 总结
定目标性,并且无需人为干预即可进行不断的传播。一旦被感染意味着受害者本身也是传播节点之一。大部分蠕虫病毒已有专杀工具,可使用专杀工具对病毒进行清理。但感染蠕虫病毒可能会影响电脑使用以及数据丢失,所以预防感染蠕虫病毒还需提高自身安全意识,培养良好的办公习惯。
参考文献
[1]青莲网络安全工作室2021年1月14日头版
[2] 知乎网(作者:威胁情报)
[3] CSDN博客(病毒分析专栏)
