南京宏海科技有限公司

新闻资讯

2021-02-26 11:15

incaseformat蠕虫病毒的处理建议

分享到:
病毒特性
接到用户反馈,系统C盘以外的磁盘消失并生成incaseformat文件。经过排查分析该病毒为蠕虫病毒,通过U盘(移动存储设备)传播。感染后会将系统盘C盘以外的磁盘文件隐藏,并在磁盘文件中生成“incaseformat.txt”文件。用户重启电脑之后,会将被隐藏的文件彻底删除。
注意:请已经中病毒用户,不要重启电脑,不要重启电脑,不要重启电脑。先清理病毒同时将被隐藏的文件拷贝出来,然后再操作重启电脑。
病毒相关信息
【恶意程序家族】:incaseformat
【关键字】:#incaseformat.txt #tsay.exe #ttry.exe
【家族详情】:病毒类型:蠕虫
传播方式
1. U盘隐藏正常文件夹,并替换为同名样本母体
行为特征:
1. 先隐藏C盘以外的盘符数据,重启之后再删除相关被隐藏文件,释放文件incaseformat.txt
2. 拷贝副本至C:windows try.exe、C:windows say.exe(文件名可能会变化)
3. 注册表创建启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa
处置建议:
U盘使用前先进行病毒扫描;也可以通过外设管控(Device Control)功能禁止不明移动存储设备进入内网。同时对全网终端进行全盘扫描。
正常情况实时防护、病毒扫描都可以检出。观察并将病毒库更新到最新。
如果不慎感染用户,已经安装McAfee杀毒的用户检查一下排除项文件区域,查看是否有被信任的病毒文件,清理信任区之后进行全盘扫描。尚未安装McAfee杀毒的用户,可以安装McAfee杀毒,并对系统进行全盘扫描,并清除病毒。
如果感染之后没有重启电脑的用户,清理完病毒之后,先将C盘以外盘符中被隐藏的文件,从磁盘拷贝出来后再重启电脑。如果已经被重启的终端,清理完病毒之后尝试使用第三方数据恢复工具恢复文件。
相关MD5+SHA1(注意该样本变化较多):
1071d6d497a10cef44db396c07ccde65+71aa3a0af1eda821a1deddf616841c14c3bbd2e3
相关SHA256(注意该样本变化较多):
75ee468476e300c 5fda280a2c0570b1c11a0f7c44acad2b257428cf404e5da

上一篇:没有了
下一篇:免费提供vSSL