吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8290|回复: 41
收起左侧

[转载] 被“incaseformat”蠕虫病毒删除文件?不要慌............

  [复制链接]
没有星星的夜空 发表于 2021-1-14 16:39
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 没有星星的夜空 于 2021-1-14 16:42 编辑

“incaseformat”蠕虫病毒删除文件?不要慌,X讯iOA、御点、管家都能杀,文件也能恢复 有网友反应遭遇“incaseformat”病毒攻击,硬盘除 C 盘外,其他分区文件被删除,仅保留 一个名为“incaseformat.log”的 0 字节文件。X讯安全专家分析后发现,这是一个很古老的 蠕虫病毒。X讯 iOA、X讯御点、X讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文 件恢复的概率也较高。
1.jpg
1
该病毒在非 Windows 目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自 启动,拷贝自身到 windows目录下(C:\Windows\tsay.exeC:\Windows\ttry.exe),同时设 置注册表 runoncemsfsa 项。


2.jpg
2
当病毒在 windows 目录下(C:\Windows\tsay.exeC:\Windows\ttry.exe)运行时,会修改注 册表不显示隐藏属性的文件,最后会遍历磁盘,删除所有除系统盘之外的文件,只在硬盘根目 录留下名为 incaseformat.log的空文件。
3.jpg
3
该病毒出现很早,同源变种样本也有数百个之多。X讯零信任无边界访问控制系统(iOA)、 X讯御点、X讯电脑管家及其他主流杀毒软件均可查杀。用户只要开启杀毒软件的实时防护即 可有效防御。当病毒改写注册表的启动项时,安全软件也会报警。


X讯安全专家表示,因该病毒采用文件夹的图标,会使一部分用户误认为是正常软件,而将杀毒软件的防护功能关闭,或者将病毒添加到信任白名单里,最终在这些用户的系统上会造成病 毒发作文件被删除。 由于病毒代码设置变量值的错误,导致病毒计算当前系统时间出错,因而在 2021 1 13日触发删除文件等操作(下一次发作是 1 23 。之所以用户电脑的安全软件未作出响应,可能是用户错误地将病毒文件添加为信任白名单所致。 X讯安全建议用户勿轻易判定安全软件的警告为误报,勿轻易将可疑文件添加到信任白名单, 可避免受害。如果已有用户不幸中招,可以在清除病毒之后,使用文件恢复工具将被删除的文 件还原,只要用户未做较多的文件覆盖操作,恢复成功的概率较大(SSD硬盘例外,因存储机 制不同,删除后难以恢复。)
4.jpg
4

IOCs MD5(部分同源样本)
ef5b7e56bfb0fa8106ed34d03fac1c54
8c2684749c3fb167f461fd232949a19d
a4063fdcca320255b6cbf346b136729f
bd3ec766a3e9b06de1fc5814c683631b
d7bfa872efe8abf74ea9bbe0cd4602a8d
223e83d01acbf7681d7e8f88f03151b
bb7b42ad834ad913d940d07ccb07acbb
a1b1cfa4cb764163967c33e297e61bc3
b47a2e878a90fc69edeb291c601e4016
93bd1f3cbe0e17705b7e871aa277e3cb
08b23af62b33dadff2f3e83ce1281127
bc538c071683816ae9f37aff51d615a0
5a072207501195802968ff7c79e6a69
7c82fe43617d43fb2f8b77bfa480571b
9f3bcbd38ee225690ed613d518c101f9
4b9b17a4c93e31ba7ef7eeaa930e5caf
3a27dc421e70d4b5b054d7e1e3ff2335





[非转载]那么问题来了,大佬们有没有提取文件恢复的单文件呢?
最后一句话才是重点,大佬们别跑偏!!

免费评分

参与人数 7吾爱币 +6 热心值 +7 收起 理由
swyxbxv + 1 用心讨论,共获提升!
云宗驾贴旗 + 1 + 1 热心回复!
头铁又刚 + 1 + 1 楼主要数据恢复的软件?
BLZHOUSW + 1 + 1 谢谢@Thanks!
jiaweis + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
Zimin + 1 + 1 鼓励转贴优秀软件安全工具和文档!
杨辣子 + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

azusys 发表于 2021-1-14 16:53
楼主要善用搜索哦~~~
转载整合【应对蠕虫病毒“incaseformat”】火绒完整版+数据恢复软件分享和安全提醒
https://www.52pojie.cn/thread-1350399-1-1.html
(出处: 吾爱破解论坛)

我之前做的那台数据恢复是恢复到了c盘。因为病毒没有删除c盘的文件然后检查无误后再复制回各自盘下
画嫇 发表于 2021-1-14 19:50
shuyangzjg 发表于 2021-1-15 10:22
八月未央 发表于 2021-1-14 16:45
被“incaseformat”蠕虫病毒删除文件?不要慌,慌也没用。。。。

开玩笑,主要还是要保持良好的上网习惯,以及装杀软也是有必要的
azusys 发表于 2021-1-14 16:47
今天下午刚刚处理了一台,由于是ssd硬盘虽然数据都恢复了,文件大小正常,但是一大部分都打开报错,不仅引起了反思,虽然ssd速度快但是hdd在这方面更具有(可靠性?)
win12345 发表于 2021-1-14 16:49
azusys 发表于 2021-1-14 16:47
今天下午刚刚处理了一台,由于是ssd硬盘虽然数据都恢复了,文件大小正常,但是一大部分都打开报错,不仅引 ...

一个做数据恢复的朋友说的,ssd的机制不同这次这个病毒很容易造成全军覆没。
 楼主| 没有星星的夜空 发表于 2021-1-14 16:50
azusys 发表于 2021-1-14 16:47
今天下午刚刚处理了一台,由于是ssd硬盘虽然数据都恢复了,文件大小正常,但是一大部分都打开报错,不仅引 ...

确实啊, 好多SSD恢复的文件,无法打开。
azusys 发表于 2021-1-14 16:51
win12345 发表于 2021-1-14 16:49
一个做数据恢复的朋友说的,ssd的机制不同这次这个病毒很容易造成全军覆没。

嗯是的 ssd虽然速度快但是由于他存储机制的原因删除后很难恢复,这个在之前ssd开始普及的时候就有这个问题了
azusys 发表于 2021-1-14 16:52
没有星星的夜空 发表于 2021-1-14 16:50
确实啊, 好多SSD恢复的文件,无法打开。

因为我恢复的那个数据有些敏感所有没有拷贝出来进行恢复测试,但是貌似看到有个帖子说使用hex查看文件全部都是0
realgreenhand 发表于 2021-1-14 17:09
恢复之后应该也用不了了吧
 楼主| 没有星星的夜空 发表于 2021-1-14 17:12
azusys 发表于 2021-1-14 16:53
楼主要善用搜索哦~~~
转载整合【应对蠕虫病毒“incaseformat”】火绒完整版+数据恢复软件分享和安全提醒
...


哈哈,这个真忘记了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 03:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表