近期,深信服安全团队发现了一种名为incasefoRMat的病毒,该病毒在全国范围内导致用户文件被删除。
经过调查,这种蠕虫通常表现为文件夹蠕虫,执行后会自我复制到系统盘的Windows目录,并在注册表中创建自启动项。用户一旦重新启动计算机,病毒母体将从Windows目录执行,进而遍历除系统盘外的所有磁盘文件进行删除,给用户带来不可逆转的损失。该病毒在1月13日集中爆发,原因是其代码中嵌入了特定日期,一旦匹配,便会触发删除文件的功能。推测用户在1月13日前已经感染该病毒,预计下次触发删除操作的时间为2021年1月23日和2月4日。为此,深信服免费提供了查杀工具以帮助用户检测和清除incasefoRMat病毒。
据了解,蠕虫病毒在非Windows目录下执行时并不会删除文件,但会将自身复制到系统盘的Windows目录,并在注册表中创建RunOnce值以实现开机自启,同时伪装成正常的文件夹。
当该病毒在Windows目录下执行时,会再次自我复制,并修改注册表项以调整隐藏文件设置。
最终,它会遍历并删除系统盘外的所有文件,并在根目录留下一个名为incasefoRMat.log的空文件。
虽然情况看似简单,但蠕虫的传播方式以及为何会集中爆发却引人深思。
经过深信服安全专家对病毒文件和威胁情报的深入分析,发现该蠕虫是用Delphi语言编写的,首次出现于2009年,此后每年都有用户在网络上求助于该病毒的解决方案。
正常情况下,该病毒表现为一种文件夹蠕虫,和其他类似病毒一样,通过文件共享或移动设备传播,并会在共享目录下将正常文件夹隐藏,伪装成文件夹的样子。
然而,与其他文件夹蠕虫不同,incasefoRMat在代码中内置了一个“定时炸弹”,会获取感染主机的当前时间,并与指定的时间进行比对。条件为:
年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29。
因此,在2009年后,每年的3月之后的1号、10号、21号和29号时,便会触发删除文件操作。
该程序通过DecodeDate函数拆分日期,而奇妙的是,程序中的Delphi库可能出现了错误,导致DateTimeToTimeStamp计算的一个变量发生异常,进而导致转换后的时间与真实主机时间不符。这可能是此次病毒爆发的一个意外因素。
分析人员计算出,随后将会触发删除文件操作的日期为2021年1月23日和2月4日。
由于此类文件夹蠕虫在感染后并未造成明显损失,大多数用户会因此放松警惕,同时该蠕虫主要通过文件共享和移动设备传播,一旦感染,便容易在内网迅速蔓延。因此,许多此次爆发的主机可能早已感染,而一些潜伏的用户可能会在2021年1月23日和2月4日遭遇数据删除。
对此,深信服安全团队向广大用户提出了防范建议:
若主机未感染(其他磁盘文件尚未被删除):
1. 不随意重启主机,首先使用安全软件进行全面查杀,并开启实时监控等防护功能;
2. 不随意下载安装未知软件,尽量在官方网站进行下载安装;
3. 关闭不必要的共享,或将共享目录设置为只读模式; 深信服EDR用户可直接使用微隔离功能封堵共享端口;
4. 严格规范U盘等移动介质的使用,使用前进行查杀;
5. 重要数据做好备份;
若主机已感染(其他磁盘文件已被删除):
1. 使用安全软件进行全面查杀,彻底清除病毒残留;
2. 可尝试使用数据恢复工具进行恢复,恢复前尽量不要占用被删除文件的磁盘空间,由于病毒的删除操作并未直接覆盖数据,仍有一定几率能恢复。
深信服也为用户提供了免费检测和查杀工具,用户可联系深信服工作人员获取。
同时,深信服安全感知平台、下一代防火墙和EDR用户建议及时升级到最新版本,并接入安全云脑,使用云查服务以便及时检测和防御新威胁。
最后,再次提醒广大用户,安全无小事,务必做好重要数据的备份及主机的安全防护措施,以防患于未然!
