据国家网络与信息安全信息通报中心监测发现,一种名为incaseformat的蠕虫病毒在国内呈现大规模爆发趋势,多省市多行业相继出现感染案例。经分析研判,incaseformat病毒并非新型病毒,该病毒可在主机内长期潜伏,并通过U盘等移动存储介质传播,在特定时间对系统进行破坏。为全面提升省内关键信息基础设施、重保单位网络安全防护水平,防止蠕虫病毒感染造成损失。
一、基本情况
incaseformat蠕虫病毒最早出现于2009年,该病毒在感染用户计算机后会自我复制到系统盘Windows目录下,并创建注册表自启动。一旦用户重启主机或满足自设定的运行时间,将会自动删除用户电脑中C盘以外的所有文件,并在磁盘根目录创建“incaseformat.txt”文本文档。区别于传统蠕虫病毒,该病毒主要通过U盘等移动存储和文件共享等方式进行传播。(尚未发现该病毒搭载主动性攻击代码进行蔓延传播的行为)
| 病毒名称 | incaseformat.exe |
| 文件类型 | PE32 Executable for MS Windows (EXE) |
| MD5 | 1071d6d497a10cef44db396c07ccde65 |
| SHA1 | 71aa3a0af1eda821a1deddf616841c14c3bbd2e3 |
| SHA256 | 8c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df6 02890929 |
二、影响分析
通过技术人员对病毒样本的分析,在2021年1月13日病毒爆发后,至少到如下日期存活病毒会再次发作:
2021年1月23日、2月4日、2月13日、2月15日、2月25日、3月18日、3月21日、3月31日、4月12日、4月21日、4月23日、5月3日、5月15日、5月24日、5月27日、6月6日、6月18日、6月27日、6月30日
三、处置建议
(一)针对已感染病毒处置措施
及时断开网络并使用杀毒软件进行全盘查杀,尝试通过数据恢复软件对数据进行恢复。(注:不要重启计算机,防止触发病毒数据删除功能)
(二)未感染病毒预防处置措施
1、安装杀毒软件、更新病毒库,并及时清理杀毒软件的信任区,去除未知信任文件(tsay.exe、ttry.exe等);
2、安全使用U盘等移动存储设备,关闭计算机系统的网络共享功能,谨慎下载运行未知的程序和文件;
3、立即启动对全网设备的病毒清理工作,并对重要数据进行备份。
