首页>公司新闻>如何防范和处理IncaseFormat蠕虫病毒

如何防范和处理IncaseFormat蠕虫病毒

发布时间:2021-01-25

2021年1月13日,Incaseformat 蠕虫病毒大规模爆发,引起了大量用户的高度关注。样本分析显示该病毒仍然在潜伏期内,以后每个月都会爆发,预计下次删除文件的功能代码启动时间为2021年1月23日和 2 月 4 日。


Part 01 背景

2014年之前已发现Incaseformat 蠕虫病毒,但由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到 2021 年 1 月 13 日才被触发。


该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件并将其删除,对用户造成不可挽回的损失!


Part 02 锐起RDV云桌面如何防范?

1)终端无硬盘+外设管控,病毒无处藏身

通过对该病毒家族样本进行分析,可以确定病毒的主要传播途径为U盘等移动存储介质传播。

使用锐起RDV云桌面屏蔽主机外设端口,电脑无法识别任何移动存储介质,防止病毒通过U盘等设备传播。并且,锐起RDV云桌面支持电脑无硬盘,终端每次开机会还原,病毒无处藏身。


2)加固系统安全,统一更新安全软件

通过锐起RDV云桌面对系统镜像统一打补丁及安全软件升级加固,确保终端100%补丁成功,加固终端设备安全。配合重启还原、外设管控,关闭自动播放功能,保障系统安全性,远离蠕虫病毒感染。


3)云端数据,安全有保障

锐起RDV云桌面提供云端统一存储功能及文件历史版本功能,用户数据文件储存在服务器端,即使是PC终端受到蠕虫病毒攻击,也可通过云端已有历史版本文件快速恢复用户数据,确保数据文件安全。


4)自主研发的虚拟文件系统,病毒无法识别与入侵

锐起历经20年,自主研发虚拟文件系统,使用体验与传统PC相当,但因其技术特点,病毒无法轻易识别和入侵。不仅如此,锐起RDV云桌面还支持数据权限管控、二级回收站、日志收集、文件共享等丰富的功能,满足企业办公数据管理与管控的需求。


Part 03 还未使用云桌面怎么办?

经确认,Incaseformat 蠕虫病毒主要传播方式为U盘等移动存储器设备,不会通过U盘以外的网络共享、漏洞等常见蠕虫传播方式传播。由于该病毒只有在Windows平台下执行时会触发删除文件行为,重启会导致病毒在Windows平台下自启动。因此:


1)未感染,做好电脑防护
>> 修改系统的开机密码为字母、数字、符号组合的8位以上强密码。
>> 办公设备不使用U盘等移动存储工具。若必须使用,建议使用前进行U盘查杀。
>> 不随意打开共享文件,并通过正规官方渠道下载软件。
>> 关闭文件共享目录或者设置共享目录为只读模式。
>> 保持系统以及杀毒软件等及时更新。
2)感染后,减低危害
>> 在设备被感染的第一时间,切忌重启;
>> 注意全盘杀毒,修复注册表;
>> 禁止U盘自启动;
>> 如若文件已经删除,立刻切断电源,使用数据恢复软件进行数据恢复。

Part 04 如何排查病毒?

如果主机存在如下的进程和文件(文件图标为文件夹图标)则表示该主机已被感染。


进程:tsay.exe;ttry.exe

文件:C:\windows\tsay.exe;C:\Windows\ttry.exe


使用“regedit”命令打开注册表,通过“Ctrl+F”命令打开搜索框,分别搜索 “tsay.exe”和“ttry.exe”,将搜索到的所有包含该字符串的注册表键全部删除。

可疑移动设备接入Linux系统,查看根目录是否存在tsay.exe、ttry.exe、autorun.inf文件,发现后删除。
测试申请 方案咨询
X咨询客服
客服电话:021-51036805
工作日:9:00 - 17:30
客服手机:13816340931
在线时间:7*24小时
锐起微信公众号
扫码在线咨询