网络安全
河南省教育信息安全监测中心-incaseformat蠕虫病毒预警

 

事件描述

近期发现一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒主要针对Windows系统,执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对系统造成巨大损失。

影响范围

涉及政府、医疗、教育、运营商等多个行业,目前多数感染主机为财务管理相关重要应用系统。

安全建议

一、防御恢复措施

  1. 该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,在未做好安全防护及病毒查杀工作前请勿重启主机。

  2. 不要随意下载安装未知软件,尽量在官方网站进行下载安装。

  3. 尽量关闭不必要的共享,或设置共享目录为只读模式。

  4. 严格规范U盘等移动介质的使用,使用前先进行查杀。

  5. 如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

    二、自查清除措施

  6. 检查任务管理器,查看是否有ttry.exe进程,如果有,就结束掉进程。

  7. 文件夹选项勾选显示扩展名,显示隐藏的文件、文件夹或驱动器。

  8. 查看C:\Windows目录下,是否有tsay.exe和ttry.exe,如果有就删除。

  9. Win+R执行regedit打开注册表,查看是否有HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下是否有msfsa键的项,如果有就删除。

  10. 删除各驱动器下的incaseformat.log。

  11. 使用各类主流安全产品进行全盘查杀。

上一条:河南省教育信息安全监测中心-Spring远程代码执行漏洞预警

下一条:河南省教育信息安全监测中心-超星图书馆系统安全漏洞预警