近日,美創(chuàng)安全實(shí)驗(yàn)室監(jiān)測(cè)到一種名為incaseformat的蠕蟲病毒在國(guó)內(nèi)大爆發(fā),已發(fā)現(xiàn)多個(gè)區(qū)域不同行業(yè)用戶遭到感染。該蠕蟲病毒執(zhí)行后會(huì)復(fù)制到系統(tǒng)盤windows目錄下,并創(chuàng)建注冊(cè)表自啟動(dòng),一旦用戶重啟主機(jī),使得病毒母體從Windows目錄執(zhí)行,病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除,對(duì)用戶造成不可挽回的損失。

01病毒情況

美創(chuàng)安全實(shí)驗(yàn)室第一時(shí)間拿到相關(guān)病毒樣本,經(jīng)virustotal 檢測(cè),確認(rèn)為 incaseformat蠕蟲病毒。

incaseformat蠕蟲病毒在windows下顯示的圖標(biāo)形狀為文件夾圖標(biāo),具有一定的欺騙性。

當(dāng)蠕蟲病毒在windows目錄下執(zhí)行時(shí),會(huì)修改注冊(cè)表

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt的值為1:

修改

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue的值為0

這么做是為了關(guān)閉windows后綴顯示,因?yàn)椴《緢D標(biāo)做了偽裝,從而達(dá)到了讓用戶誤以為這是一個(gè)文件夾的目的。

當(dāng)病毒在非windows目錄下運(yùn)行時(shí),會(huì)拷貝副本至C:windows say．exe,并創(chuàng)建RunOnce注冊(cè)表值設(shè)置開機(jī)自啟。一旦用戶重啟主機(jī),病毒進(jìn)程將會(huì)刪除除了系統(tǒng)盤外的所有路徑下的文件。

02防護(hù)措施

美創(chuàng)諾亞防勒索系統(tǒng)可抵御incaseformat蠕蟲病毒刪除文件的行為,以下為諾亞防勒索針對(duì)這款勒索病毒的防護(hù)效果。

美創(chuàng)諾亞防勒索可通過(guò)服務(wù)端統(tǒng)一下發(fā)策略并更新。默認(rèn)策略可保護(hù)office文檔【如想保護(hù)數(shù)據(jù)庫(kù)文件可通過(guò)添加策略一鍵保護(hù)】。

開啟諾亞防勒索的情況下:

雙擊執(zhí)行病毒文件,當(dāng)incaseformat蠕蟲病毒病毒嘗試刪除被保護(hù)文件,諾亞防勒索提出警告并攔截該行為。

查看系統(tǒng)上被測(cè)試的文件,文件未被刪除且可被正常打開,成功防護(hù)incaseformat蠕蟲病毒對(duì)被保護(hù)文件的惡意行為。

開啟堡壘模式的情況下:

為保護(hù)系統(tǒng)全部文件,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對(duì)亞終端,例如ATM機(jī),ATM機(jī)的終端基本不太會(huì)更新,那么堡壘模式提供一種機(jī)制:任何開啟堡壘模式之后再進(jìn)入終端的可執(zhí)行文件都將被阻止運(yùn)行,從而實(shí)現(xiàn)諾亞防勒索的最強(qiáng)防護(hù)模式。

運(yùn)行在堡壘模式下,執(zhí)行incaseformat蠕蟲病毒,立刻被移除到隔離區(qū),因此可阻止任何未知病毒的執(zhí)行。

由于該病毒只有在Windows目錄下執(zhí)行時(shí)會(huì)觸發(fā)刪除文件行為,重啟會(huì)導(dǎo)致病毒在Windows目錄下自啟動(dòng)。因此,美創(chuàng)安全實(shí)驗(yàn)室建議廣大用戶在未做好安全防護(hù)及病毒查殺工作前請(qǐng)勿重啟主機(jī),并注意日常防范措施,以盡可能避免損失:

1、及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。

2、嚴(yán)格規(guī)范U盤等移動(dòng)介質(zhì)的使用,使用前先進(jìn)行查殺;

3、重要的文檔、數(shù)據(jù)定期進(jìn)行非本地備份,一旦文件損壞或丟失,也可以及時(shí)找回。

4、不要點(diǎn)擊來(lái)源不明的郵件附件,不從不明網(wǎng)站下載軟件,警惕偽裝為瀏覽器更新或者flash更新的病毒。

5、盡量關(guān)閉不必要的文件共享。

6、盡量關(guān)閉不必要的端口,如139、445、3389等端口,降低被攻擊的風(fēng)險(xiǎn)。