悄然已久的Incaseformat蠕虫病毒重燃,,,,,应急处置惩罚计划同步推出

宣布时间 2021-01-14

病毒重点信息


病毒名称:incaseformat、Worm.Win32.Autorun

撒播途径:移动介质

危害水平:非系统分区数据删除

触发条件:随电脑开机启动

威胁展望:2021年1月23日将会再次爆发

处置惩罚计划:历程抑制、文件删除


威胁剖析


该病毒最早的泛起时间约在2009年,,,,,由于病毒编码中时间换算过失,,,,,延后了10余年才触发后续行为,,,,,incaseformat 蠕虫病毒运行后,,,,,将会举行以下操作:


1、举行自复制(C:\windows\tsay.exe、C:\Windows\ttry.exe)

2、设置注册表自启动(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)

3、隐藏受保唬唬唬唬护的文件

4、触发执行后续的文件删除行动


注重事项


1、暂停使用U盘等移动存储工具

2、不翻开未知文件、不点击未知链接

3、威胁扫除前不要重启电脑

4、确保共享目录关闭、主机防火墙开启


处置惩罚计划


● 未装置天珣EDR


1、排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2、排查并删除注册表“msfsa”项

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”


● 已装置天珣EDR


1、开启要害路径信息变换收罗并添加威胁路径信息,,,,,一连监控预警

2、开启注册表信息变换收罗并添加威胁路径监控信息,,,,,一连监控预警

3、添加历程黑名单,,,,,抑制病毒运行

4、推送响应剧本,,,,,全网扫除病毒威胁

5、回溯威胁入口,,,,,为后续清静整改提供支持


鉴黑担保网天珣终端高级威胁检测与响应系统(简称天珣EDR),,,,,发明、剖析、处置惩罚清静威胁的同时提供完善的可视化回溯能力,,,,,协助治理职员定位威胁源头。。。。


温馨提醒


可通过邮件或其他方法见告所有职员执行一次鉴黑担保网提供的“关于incaseformat扫除剧本”后再关机或重启电脑。。。。

扫除剧本获取方法:

1、直接联系对接商务、手艺

2、拨打鉴黑担保网热线电话:400-624-3900


鉴黑担保网将一连关注此病毒后续动态并实时提供解决计划。。。。