事件追蹤

　　2021年1月13日，Incaseformating病毒大面積爆發，引起了用戶的恐慌。病毒的感染對象為windows操作系統，中毒表現為除C盤其他數據分區全部被清空，只留下一個名為Incaseformat.log的文本文檔，該病毒也因此得名。

　　Incaseformat病毒時間戳為2007/3/3，2009年原始樣本首次出現，2010年原始樣本惡意行為首次觸發，2014年被篡改版本首次出現，2021年被篡改后樣本惡意行為首次觸發。預計1月23日會再次觸發攻擊行為。

　　Incaseformat病毒為常規蠕蟲病毒，目前已知唯一的傳播途徑為USB等接口的移動設備，傳播能力較弱。主流的安全軟件在運行狀態配置完善的前提下均能查殺此病毒，在廠商病毒庫中被命名為Worm.Win32.Autorun。

　　蠕蟲病毒主要作用于老舊版本的操作系統。多家主流安全廠商通告稱，經客戶反應，該病毒感染了全國各區域各行業的部分計算機系統，各地網信辦、數據監測平臺及事業單位多進行了警報。

　　（圖片轉載自360安全團隊）

　　病毒分析

　　Incaseformat病毒使用Borland Delphi語言編譯，原始文件名為Autorun.exe，產生衍生文件名為tsay.exe。

　　原始文件運行時，衍生Tsay.exe被釋放在C:\windows\tsay.exe，病毒會偽裝文件夾圖標。

　　病毒會創建注冊表鍵值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　以實現自啟動，并禁用顯示隱藏文件

　　該病毒在電腦重啟后將執行，釋放ttry.exe以執行主邏輯。

　　此時除C盤外其它分區將被清空。該病毒將復制自身到每個被清空的分區根目錄下，命名為123并偽裝為文件夾圖標并隱藏。還會強行篡改注冊表，導致系統中的“顯示系統隱藏文件”功能以及“顯示文件擴展名”功能失效。故在被清空的分區中只能看到Incaseformat.log的文本文檔。

　　如果U盤插入被感染的計算機，作為數據分區之一，同樣會被感染。被感染的U盤再插入其它主機，其中的執行文件會作為原始文件運行。

　　原始病毒與被篡改后病毒唯一的不同為Sysutils::DateTimeToTimeStamp庫函數所使用的全局變量IMSecsPerDay（一天的總毫秒數）。函數庫內代碼往往為人所忽略。此參數的變化使得攻擊事件被推遲到2021年1月13日。這可能是在測試過程中產生的bug，也可能是惡意人員有意為之。

　　處置建議

　　如果發現，主機有感染風險

　　千！萬！不！要！關！機！或！重！啟！

　　可以使用主流安全軟件對系統進行查殺，注意白名單要嚴格管理。

　　如不具備安裝主流安全軟件的條件，可以：

　　停止下列進程：

　　tsay.exe

　　ttry.exe

　　刪除下列文件：

　　C:\windows\tsay.exe

　　C:\Windows\ttry.exe

　　刪除下列鍵值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　為防止病毒傳播，應當嚴格管理存儲介質接入。

　　由于該病毒未對文件執行破壞或覆蓋操作，大部分被刪除數據存在還原的可能。對于重要或敏感數據，請聯系專業機構。

　　（作者：王家和，研發工程師，主要研究方向：滲透測試）