incaseformate传播与复现

一、事件说明

2021-01-13日一种名为incaseformat的蠕虫在国内爆发，该蠕虫执行后将删除被感染计算机所有非系统软件，蠕虫设定的下一次删除时间为1月23日，建议各用户做好U盘防护及查杀工作。

二、已知样本

经过分析，1506 KB大小样本为未压缩样本，tsay样本已压缩

三、病毒分析

1、病毒信息

病毒名称：incaseformat

病毒类型：蠕虫病毒

病毒危害：删除用户除系统盘外的所有磁盘文件，并在磁盘的根目录下创建名为incaseformat.log文件

2、病毒行为

样本在windows目录下运行，会复制自身到同目录下，并且修改注册表。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt的值为 1。

此外还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

四、传播场景复现

1、A机在已运行病毒样本情况下，插入U盘。

2、U盘内原有121xxxx文件夹被病毒成功感染。

3、B机未感染病毒主机情况。

4、插入从A机拔下已被感染的的U盘。

5、打开U盘查看存在病毒。。

6、运行U盘内被感染的文件。

7、主机 A 和主机 B 同时修改为病毒触发时间。病毒执行删除操作。

五、查杀与恢复

1、主机排查

排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件，若存在该文件，及时删除即可，删除前切勿对主机执行重启操作。

2、数据恢复

切勿对被删除文件的分区执行写操作，以免覆盖原有数据，然后使用常见的数据恢复软件（如：Finaldata、recuva、DiskGenius等）即可恢复被删除数据。

3、病毒清理

由于病毒出现年份较早，主流杀毒软件均可对该病毒进行查杀，用户也可通过以下手工方式进行清理修复：

1）通过任务管理器结束病毒相关进程（ttry.exe）

2）删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动（RunOnce）

3）恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项。