分享

除了C盘,别盘被隐藏删除的病毒处理

 网管爱好者 2021-01-15

部分用户反馈电脑下载邮件,或使用U盘复制文件后,除了C盘,DEF盘重要数据全部消失,只留下一个文件名为“incaseformat”的文本文件,本人遇到了,安全卫士也检测到了,查杀了,不小心系统重启了,电脑可到干净了,就剩C盘有内容了,安全卫士查杀木马后,恢复区恢复文件也不管用了

用户电脑中毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实施了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除用户文件。

该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

病毒症状描述

       该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

中毒后重启电脑,最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:


一般用户解决办法

系统C盘以外的磁盘消失并生成incaseformat文件。经过排查分析该病毒为蠕虫病毒,通过U盘(移动存储设备)传播。感染后会将系统盘C盘以外的磁盘文件隐藏,并在磁盘文件中生成“incaseformat.txt”文件。用户重启电脑之后,会将被隐藏的文件彻底删除。

意:请如果已经中病毒用户,不要重启电脑,不要重启电脑,不要重启电脑。先清理病毒同时将被隐藏的文件拷贝出来,然后再操作重启电脑。

病毒相关信息如下:

【恶意程序家族】:incaseformat

【关键字】:#incaseformat.txt    #tsay.exe   #ttry.exe   

【家族详情】:病毒类型:蠕虫

传播方式: 

1. U盘隐藏正常文件夹,并替换为同名样本母体

行为特征:

1. 先隐藏C盘以外的盘符数据,重启之后再删除相关被隐藏文件,释放文件incaseformat.txt

2. 拷贝副本至C:\windows\ttry.exe、C:\windows\tsay.exe(文件名可能会变化)

3. 注册表创建启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

处置建议:

1. 使用U盘前使用天擎进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。同时对全网终端进行全盘扫描。

2. 天擎qowl引擎支持检出,正常情况实时防护、病毒扫描都可以检出。建议将病毒库更新到最新。或者将以下MD5+SHA1添加鉴定中心或控制中心黑名单。

3. 如果不慎感染用户,已经安装天擎用户检查一下信任区,查看是否有被信任的病毒文件,清理信任区之后进行全盘扫描。尚未安装的天擎的用户,可以安装天擎,并对系统进行全盘扫描,并清除病毒。

4、如果感染之后没有重启电脑的用户,清理完病毒之后,先将C盘以外盘符中被隐藏的文件,从磁盘拷贝出来后再重启电脑。如果已经被重启的终端,清理完病毒之后尝试使用第三方数据恢复工具恢复文件;

相关MD5+SHA1(注意该样本变化较多):

1071d6d497a10cef44db396c07ccde65+71aa3a0af1eda821a1deddf616841c14c3bbd2e3

下面是深信服查杀工具

1、  不要随意下载安装未知软件,尽量在官方网站进行下载安装;

2、  尽量关闭不必要的共享,或设置共享目录为只读模式;深信服EDR用户可使用微隔离功能封堵共享端口;

3、  严格规范U盘等移动介质的使用,使用前先进行查杀;

4、  如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。


该病毒由于病毒作者在编写过程中,错误计算了系统时间,导致其删除文件的操作直到今天(2021年1月13日)才被触发,而其下一次被触发删除操作的时间则是本月23日。

注意:此病毒并非近期出现的新病毒,由于其伪装成文件夹的图标,易造成用户误认为是正常文件,从而对杀毒软件的报警选择忽略或者信任放行:

如果您的文件不幸已被病毒删除掉,只能使用数据恢复软件(安全卫士功能大全;毒霸百宝箱——数据恢复),找回丢失的文件:

病毒样本

    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多