一级裸体片,无码日韩A∨一区二区,亚洲aⅴ综合色区无码一区

公司新聞，軟件行業(yè)資訊，通知公告

ncaseformat蠕蟲病毒來襲警惕文件遭刪除
來源：未知　時(shí)間：2021-00-15　瀏覽次數(shù)：228次

今日，安全團(tuán)隊(duì)監(jiān)測到一種名為incaseformat的蠕蟲病毒在國內(nèi)爆發(fā)，該蠕蟲病毒執(zhí)行后會自復(fù)制到系統(tǒng)盤Windows目錄下，并創(chuàng)建注冊表自啟動(dòng)，一旦用戶重啟主機(jī)，使得病毒母體從Windows目錄執(zhí)行，病毒進(jìn)程將會遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除，對用戶造成不可挽回的損失。

目前，已發(fā)現(xiàn)國內(nèi)多個(gè)區(qū)域不同行業(yè)用戶遭到感染，病毒傳播范圍暫未見明顯的針對性。

病毒名稱：incaseformat

病毒性質(zhì)：蠕蟲病毒

影響范圍：多省市多行業(yè)發(fā)現(xiàn)感染案例，有規(guī)模爆發(fā)趨勢

危害等級：高危，可導(dǎo)致用戶數(shù)據(jù)丟失

經(jīng)分析，該蠕蟲病毒在非Windows目錄下執(zhí)行時(shí)，并不會產(chǎn)生刪除文件行為，但會將自身復(fù)制到系統(tǒng)盤的Windows目錄下，創(chuàng)建RunOnce注冊表值設(shè)置開機(jī)自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

值: C:windows say.exe

當(dāng)蠕蟲病毒在Windows目錄下執(zhí)行時(shí)，會再次在同目錄下自復(fù)制，并修改如下注冊表項(xiàng)調(diào)整隱藏文件：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt -> 0x1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue -> 0x0

最終遍歷刪除系統(tǒng)盤外的所有文件，在根目錄留下名為incaseformat.log的空文件：

解決方案

由于該病毒只有在Windows目錄下執(zhí)行時(shí)會觸發(fā)刪除文件行為，重啟會導(dǎo)致病毒在Windows目錄下自啟動(dòng)，因此，深信服安全團(tuán)隊(duì)建議廣大用戶在未做好安全防護(hù)及病毒查殺工作前請勿重啟主機(jī)：

1、 不要隨意下載安裝未知軟件，盡量在官方網(wǎng)站進(jìn)行下載安裝；

2、 盡量關(guān)閉不必要的共享，或設(shè)置共享目錄為只讀模式；深信服EDR用戶可使用微隔離功能封堵共享端口；

3、 嚴(yán)格規(guī)范U盤等移動(dòng)介質(zhì)的使用，使用前先進(jìn)行查殺；

4、 如發(fā)現(xiàn)已感染主機(jī)，先斷開網(wǎng)絡(luò)，使用安全產(chǎn)品進(jìn)行全盤掃描查殺再嘗試使用數(shù)據(jù)恢復(fù)類軟件。深信服為廣大用戶提供免費(fèi)查殺工具，可下載如下工具，進(jìn)行檢測查殺：

64位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

與此同時(shí)，深信服安全感知平臺、下一代防火墻、EDR用戶，建議及時(shí)升級最新版本，并接入安全云腦，使用云查服務(wù)以及時(shí)檢測防御新威脅。

ncaseformat蠕蟲病毒來襲警惕文件遭刪除 來源：未知 時(shí)間：2021-00-15 瀏覽次數(shù)：228次

ncaseformat蠕蟲病毒來襲警惕文件遭刪除
來源：未知　時(shí)間：2021-00-15　瀏覽次數(shù)：228次