被“incaseformat”蠕虫病毒删除文件?不要慌............
本帖最后由 没有星星的夜空 于 2021-1-14 16:42 编辑被“incaseformat”蠕虫病毒删除文件?不要慌,X讯iOA、御点、管家都能杀,文件也能恢复 有网友反应遭遇“incaseformat”病毒攻击,硬盘除 C 盘外,其他分区文件被删除,仅保留 一个名为“incaseformat.log”的 0 字节文件。X讯安全专家分析后发现,这是一个很古老的 蠕虫病毒。X讯 iOA、X讯御点、X讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文 件恢复的概率也较高。
图 1
该病毒在非 Windows 目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自 启动,拷贝自身到 windows目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe),同时设 置注册表 runonce的 msfsa 项。
图 2
当病毒在 windows 目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe)运行时,会修改注 册表不显示隐藏属性的文件,最后会遍历磁盘,删除所有除系统盘之外的文件,只在硬盘根目 录留下名为 incaseformat.log的空文件。
图 3
该病毒出现很早,同源变种样本也有数百个之多。X讯零信任无边界访问控制系统(iOA)、 X讯御点、X讯电脑管家及其他主流杀毒软件均可查杀。用户只要开启杀毒软件的实时防护即 可有效防御。当病毒改写注册表的启动项时,安全软件也会报警。
X讯安全专家表示,因该病毒采用文件夹的图标,会使一部分用户误认为是正常软件,而将杀毒软件的防护功能关闭,或者将病毒添加到信任白名单里,最终在这些用户的系统上会造成病 毒发作文件被删除。 由于病毒代码设置变量值的错误,导致病毒计算当前系统时间出错,因而在 2021 年 1 月 13日触发删除文件等操作(下一次发作是 1 月 23 日)。之所以用户电脑的安全软件未作出响应,可能是用户错误地将病毒文件添加为信任白名单所致。 X讯安全建议用户勿轻易判定安全软件的警告为误报,勿轻易将可疑文件添加到信任白名单, 可避免受害。如果已有用户不幸中招,可以在清除病毒之后,使用文件恢复工具将被删除的文 件还原,只要用户未做较多的文件覆盖操作,恢复成功的概率较大(SSD硬盘例外,因存储机 制不同,删除后难以恢复。)
图 4
IOCs MD5(部分同源样本)
ef5b7e56bfb0fa8106ed34d03fac1c54
8c2684749c3fb167f461fd232949a19d
a4063fdcca320255b6cbf346b136729f
bd3ec766a3e9b06de1fc5814c683631b
d7bfa872efe8abf74ea9bbe0cd4602a8d
223e83d01acbf7681d7e8f88f03151b
bb7b42ad834ad913d940d07ccb07acbb
a1b1cfa4cb764163967c33e297e61bc3
b47a2e878a90fc69edeb291c601e4016
93bd1f3cbe0e17705b7e871aa277e3cb
08b23af62b33dadff2f3e83ce1281127
bc538c071683816ae9f37aff51d615a0
5a072207501195802968ff7c79e6a69
7c82fe43617d43fb2f8b77bfa480571b
9f3bcbd38ee225690ed613d518c101f9
4b9b17a4c93e31ba7ef7eeaa930e5caf
3a27dc421e70d4b5b054d7e1e3ff2335
[非转载]那么问题来了,大佬们有没有提取文件恢复的单文件呢?
最后一句话才是重点,大佬们别跑偏!! 楼主要善用搜索哦~~~
转载整合【应对蠕虫病毒“incaseformat”】火绒完整版+数据恢复软件分享和安全提醒
https://www.52pojie.cn/thread-1350399-1-1.html
(出处: 吾爱破解论坛)
我之前做的那台数据恢复是恢复到了c盘。因为病毒没有删除c盘的文件然后检查无误后再复制回各自盘下 不好,是大佬 哪里可以下载样本 玩下 被“incaseformat”蠕虫病毒删除文件?不要慌,慌也没用。。。。
开玩笑,主要还是要保持良好的上网习惯,以及装杀软也是有必要的 今天下午刚刚处理了一台,由于是ssd硬盘虽然数据都恢复了,文件大小正常,但是一大部分都打开报错,不仅引起了反思,虽然ssd速度快但是hdd在这方面更具有(可靠性?) azusys 发表于 2021-1-14 16:47
今天下午刚刚处理了一台,由于是ssd硬盘虽然数据都恢复了,文件大小正常,但是一大部分都打开报错,不仅引 ...
一个做数据恢复的朋友说的,ssd的机制不同这次这个病毒很容易造成全军覆没。 azusys 发表于 2021-1-14 16:47
今天下午刚刚处理了一台,由于是ssd硬盘虽然数据都恢复了,文件大小正常,但是一大部分都打开报错,不仅引 ...
确实啊, 好多SSD恢复的文件,无法打开。 win12345 发表于 2021-1-14 16:49
一个做数据恢复的朋友说的,ssd的机制不同这次这个病毒很容易造成全军覆没。
嗯是的 ssd虽然速度快但是由于他存储机制的原因删除后很难恢复,这个在之前ssd开始普及的时候就有这个问题了 没有星星的夜空 发表于 2021-1-14 16:50
确实啊, 好多SSD恢复的文件,无法打开。
因为我恢复的那个数据有些敏感所有没有拷贝出来进行恢复测试,但是貌似看到有个帖子说使用hex查看文件全部都是0 恢复之后应该也用不了了吧 azusys 发表于 2021-1-14 16:53
楼主要善用搜索哦~~~
转载整合【应对蠕虫病毒“incaseformat”】火绒完整版+数据恢复软件分享和安全提醒
...
{:1_927:}
哈哈,这个真忘记了