2021-01-15 20:54 | 來源:每日財經(jīng)快報 | 作者:俠名 | [資訊] 字號變大| 字號變小
威脅以及漏洞的定期管理防護體系,在安全事件響應的生命周期中顯得尤其重要。有效的安全應急響應體系使企業(yè)在面對安全事件時,能夠及時啟動應對措施...
摘要:管理員注意,incaseformat蠕蟲病毒來襲!請盡快安裝終端安全管理軟件,進行終端防護及時止損。
事件背景:
近期,國內(nèi)多家用戶反饋辦公設備被incaseformat 蠕蟲病毒感染,機器中除了系統(tǒng)盤以外,其他文件全部被刪除。
Incaseformat病毒本身是一個老病毒,其通過U盤及共享文件夾等進行傳播,該病毒會循環(huán)遍歷刪除系統(tǒng)盤外其他磁盤的文件,并復制病毒到當前文件夾相同的位置,由于其預制的觸發(fā)時間到期,病毒脫離潛伏,開始爆發(fā)。
運行分析:
Incaseformat病毒通過U盤或共享文件夾等進行傳播后,會將自身設置成文件夾圖標,并隱藏exe后綴名。通過誘導用戶點擊或雙擊打開與偽裝文件夾同名的隱藏文件夾,復制病毒到windows目錄。incaseformat 蠕蟲病毒第一次運行后,不會有惡意行為,為防止用戶發(fā)現(xiàn)異常,該病毒首先會判斷是否在系統(tǒng)盤目錄下和自身文件名,隨后進行自復制和設置注冊表自啟動,啟動后判斷自身文件路徑是否為 "C:windowstsay.exe" 或者 "C:windowsttry.exe"。待重啟計算機后蠕蟲病毒特定時間條件下開始下一步運行,其會循環(huán)遍歷刪除系統(tǒng)盤以外的所有文件,并在根路徑下留下incaseformat.log文件。
在大數(shù)據(jù)時代下,企業(yè)擁有一套應對風險、威脅以及漏洞的定期管理防護體系,在安全事件響應的生命周期中顯得尤其重要。有效的安全應急響應體系使企業(yè)在面對安全事件時,能夠及時啟動應對措施。
北信源新一代終端安全管理體系,從內(nèi)網(wǎng)安全、數(shù)據(jù)安全、邊界安全、防病毒等方向對Windows終端、國產(chǎn)終端、移動終端、虛擬化終端提供全方位、立體化的安全防護體系,目前已廣泛應用于政府、軍隊軍工、公安、金融、能源等重要單位,成功部署數(shù)千萬終端。
解決方案:
方案1:使用北信源終端安全管理系統(tǒng),禁用tsay.exe、 ttry.exe進程,防止病毒運行,并查找曾運行的進程,發(fā)現(xiàn)并處理感染源。
方案2:使用北信源安全U盤,禁用網(wǎng)絡共享,從根本上防止病毒傳播。北信源安全U盤具備特有的私有化文件系統(tǒng)及安全傳輸機制,可有效防止病毒自動復制、自動運行,從原理上控制Incaseformat變種病毒。
方案3:使用北信源殺毒軟件防范病毒運行:
病毒文件運行時殺毒軟件會彈出提示框,彈出提示時立即刪除。
病毒運行時,殺毒軟件會提示病毒正在修改注冊表,立即阻止。
此外,對出現(xiàn)病毒現(xiàn)象的主機應直接全盤查殺,由于重啟會觸發(fā)病毒的全盤刪除機制,因此在確認清除病毒前請勿重啟計算機。
安全建議:
辦公設備不使用U盤等移動存儲介質(zhì),在必要情況下,建議使用移動存儲介質(zhì)管理產(chǎn)品進行防護控制。不隨便打開或拷貝共享文件,下載郵件或軟件時需留意文件后綴是否是.exe以及文件夾圖標樣式。一旦發(fā)現(xiàn)電腦異常(如:發(fā)現(xiàn)文件夾圖標文件后綴為.exe或者在磁盤根目錄發(fā)現(xiàn)創(chuàng)建“incaseformat.txt”文件),請勿重啟電腦,可使用北信源防病毒執(zhí)行全盤查殺清除病毒。若已經(jīng)重啟電腦導致除C盤外其他盤文件被刪除,可重新安裝北信源殺毒進行全盤掃描,并在殺毒后嘗試利用數(shù)據(jù)恢復軟件恢復數(shù)據(jù),或請專業(yè)數(shù)據(jù)恢復公司進行數(shù)據(jù)恢復。
北信源,為您的信息安全保駕護航!
《電鰻快報》
熱門
手機版
相關新聞