如何防范和处理IncaseFormat蠕虫病毒
2021年1月13日,Incaseformat 蠕虫病毒大规模爆发,引起了大量用户的高度关注。样本分析显示该病毒仍然在潜伏期内,以后每个月都会爆发,预计下次删除文件的功能代码启动时间为2021年1月23日和 2 月 4 日。
Part 01 背景
2014年之前已发现Incaseformat 蠕虫病毒,但由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到 2021 年 1 月 13 日才被触发。
该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件并将其删除,对用户造成不可挽回的损失!
Part 02 锐起RDV云桌面如何防范?
1)终端无硬盘+外设管控,病毒无处藏身
通过对该病毒家族样本进行分析,可以确定病毒的主要传播途径为U盘等移动存储介质传播。
使用锐起RDV云桌面屏蔽主机外设端口,电脑无法识别任何移动存储介质,防止病毒通过U盘等设备传播。并且,锐起RDV云桌面支持电脑无硬盘,终端每次开机会还原,病毒无处藏身。
2)加固系统安全,统一更新安全软件
通过锐起RDV云桌面对系统镜像统一打补丁及安全软件升级加固,确保终端100%补丁成功,加固终端设备安全。配合重启还原、外设管控,关闭自动播放功能,保障系统安全性,远离蠕虫病毒感染。
3)云端数据,安全有保障
锐起RDV云桌面提供云端统一存储功能及文件历史版本功能,用户数据文件储存在服务器端,即使是PC终端受到蠕虫病毒攻击,也可通过云端已有历史版本文件快速恢复用户数据,确保数据文件安全。
4)自主研发的虚拟文件系统,病毒无法识别与入侵
锐起历经20年,自主研发虚拟文件系统,使用体验与传统PC相当,但因其技术特点,病毒无法轻易识别和入侵。不仅如此,锐起RDV云桌面还支持数据权限管控、二级回收站、日志收集、文件共享等丰富的功能,满足企业办公数据管理与管控的需求。
Part 03 还未使用云桌面怎么办?
经确认,Incaseformat 蠕虫病毒主要传播方式为U盘等移动存储器设备,不会通过U盘以外的网络共享、漏洞等常见蠕虫传播方式传播。由于该病毒只有在Windows平台下执行时会触发删除文件行为,重启会导致病毒在Windows平台下自启动。因此:
1)未感染,做好电脑防护
>> 修改系统的开机密码为字母、数字、符号组合的8位以上强密码。
>> 办公设备不使用U盘等移动存储工具。若必须使用,建议使用前进行U盘查杀。
>> 不随意打开共享文件,并通过正规官方渠道下载软件。
>> 关闭文件共享目录或者设置共享目录为只读模式。
>> 保持系统以及杀毒软件等及时更新。
2)感染后,减低危害
>> 在设备被感染的第一时间,切忌重启;
>> 注意全盘杀毒,修复注册表;
>> 禁止U盘自启动;
>> 如若文件已经删除,立刻切断电源,使用数据恢复软件进行数据恢复。
Part 04 如何排查病毒?
如果主机存在如下的进程和文件(文件图标为文件夹图标)则表示该主机已被感染。
进程:tsay.exe;ttry.exe
文件:C:\windows\tsay.exe;C:\Windows\ttry.exe
使用“regedit”命令打开注册表,通过“Ctrl+F”命令打开搜索框,分别搜索 “tsay.exe”和“ttry.exe”,将搜索到的所有包含该字符串的注册表键全部删除。
