健康资讯 昨日,国内多个区域和行业,均中了incaseformat病毒,危害极高,被感染电脑会出现自动删除C盘以外其他盘内的所有的文件现象,目前短时间收到多个单位反馈中招;目前正在突然就爆发该病毒的原因,后续有解决方案会进行同步。
中招现象:目前遇到的现象是除系统盘外,其他盘符全部数据被删掉了,会在非系统盘的其他盘的根目录下有1个incaseformat.log文件。
注意:中招一定不要重启!中招一定不要重启!重启后数据会丢失,中招了没有重启的可以在隐藏文件中把数据先拷贝出来。在被清空的X盘未重新写入存入数据情况下,可以通过数据软件恢复回来,但是传播方式应该不仅仅是U盘。
我们这边测试结果:1、安全软件基本能够查杀出来;2、会在C:windows释放样本;3、注册表HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce中写入msfsa的值作为启动项;4、被删除的文件在病毒执行后未进行重启基本都能恢复;5、如执行了被感染的文件夹.exe也会造成主机数据被删除情况;6、目前客户大多数杀毒软件查杀不出的原因是因为未开启隐藏后缀,当客户打开文件夹.exe时认为是普通文件夹,杀毒软件报毒,客户认为是误报所以将其添加到信任表中导致。
如果中招,请不要重启、不要重启、不要重启!!!
态势感知里发现恶意代码脚本,点击处理,只能手动处理,查看详细信息发现图一代码,是Base64加密,于是用工具破解发现图二IP地址信息,百度查询IP居然是德国地址,复制网址打开文档,出现图三代码,看到熟知的xmrig.exe挖矿程序,一切真相大白,安装查杀程序杀掉就OK了。
网络安全有趣的地方就在于解谜,仿佛是打游戏,探险,无限惊喜。
