Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17683 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
警惕incaseformat蠕虫,可大批量删除文件!
本文来自公众号:安恒应急响应中心   2021.01.14 08:30:23



摘要

安恒信息近期发现有多区域用户被incaseformat蠕虫感染,蠕虫运行后会批量删除磁盘文件。用户可先尝试进行数据恢复进行止损。



简要分析


样本会自我复制到%SystemRoot%目录下,并重命名为重新命名为

"tsay.exe"和"ttry.exe",并且会添加注册表项

●HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

增加自启动,自启动程序指向C:\windows\tsay.exe


同时还会复制自身到除系统分区以外所有分区的根目录下,将分区下已存在的文件夹隐藏,并且以这些文件夹的名称命名。这也是传播扩散的主要方式。


并且还会强行篡改注册表,导致系统中的"显示系统隐藏文件"功能失效,这样就无法查看文件后缀,以文件夹图标迷惑用户。


样本在特定时间条件下最终会遍历删除系统盘符外的所有文件,并且在根路径下留下incaseformat.log文件。


暴力删除操作,样本是会判断时间。原先设定为大于2009年的大于3月的每个月的1号、10号、21号、29号进行,而这里由于蠕虫病毒代码编写出现了一点的问题,导致判断时间出现了偏差,导致原先应该早就爆发的暴力删除操作,推迟到昨日才执行。


实际上已经存在很久,从安恒威胁情报中心平台上观察样本至少在14年就已经存在。


并且发现国内一些站点也存在被感染,同时文件能够被传播下载的情形。

如某招聘网站上,目前仍可下载。

●h**p://pic.n***zpw.com/uploads/exam/pic/1134/431121199511125219_1557290605799.exe



防御建议


针对incaseformat蠕虫病毒,安恒EDR可进行精确拦截并查杀。在业界,安恒EDR具备独有的高级威胁防护+专利级的诱饵引擎,能及时高效地检测到未知威胁并进行强力查杀。


同时安恒EDR具备还强大的系统和网络加固功能,能对核心业务系统进行加固和防御;针对通过U盘进行传播的病毒,也能通过移动存储管控功能和主动防御功能,对移动存储设备进行风险检查及权限管控,阻断病毒传播。


同时,安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。



往期精选


围观

报告下载|2020年活跃高危安全漏洞盘点


热文

Zyxel硬编码凭据漏洞风险提示


热文

Apache Flink高危漏洞风险提示