近日，深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一種名為incaseformat的病毒，全國(guó)各個(gè)區(qū)域都出現(xiàn)了被incaseformat病毒刪除文件的用戶。

經(jīng)調(diào)查，該蠕蟲正常情況下表現(xiàn)為文件夾蠕蟲，執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤Windows目錄下，并創(chuàng)建注冊(cè)表自啟動(dòng)，一旦用戶重啟主機(jī)，使得病毒母體從Windows目錄執(zhí)行，病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除，對(duì)用戶造成不可挽回的損失。該病毒于1月13日集中爆發(fā)是由于病毒代碼中內(nèi)置了部分特殊日期，在匹配到對(duì)應(yīng)日期后會(huì)觸發(fā)蠕蟲的刪除文件功能，爆發(fā)該蠕蟲事件的用戶感染時(shí)間應(yīng)該早于1月13號(hào)，根據(jù)分析推測(cè)，下次觸發(fā)刪除文件行為的時(shí)間約為2021年1月23日和2月4日。為此深信服免費(fèi)提供了查殺工具incaseformat病毒幫助廣大用戶檢測(cè)查殺incaseformat。

據(jù)了解，該蠕蟲病毒在非Windows目錄下執(zhí)行時(shí)，并不會(huì)產(chǎn)生刪除文件行為，但會(huì)將自身復(fù)制到系統(tǒng)盤的Windows目錄下，創(chuàng)建RunOnce注冊(cè)表值設(shè)置開機(jī)自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 

值: C:\windows\tsay.exe

當(dāng)蠕蟲病毒在Windows目錄下執(zhí)行時(shí)，會(huì)再次在同目錄下自復(fù)制，并修改如下注冊(cè)表項(xiàng)調(diào)整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0 

最終遍歷刪除系統(tǒng)盤外的所有文件，在根目錄留下名為incaseformat.log的空文件。

情況看似簡(jiǎn)單，但令人不解的是，該蠕蟲是通過(guò)什么方式進(jìn)行傳播的呢？又為何會(huì)集中爆發(fā)？

經(jīng)過(guò)深信服安全專家對(duì)病毒文件和威脅情報(bào)的詳細(xì)分析，有了新的發(fā)現(xiàn)。該蠕蟲病毒由Delphi語(yǔ)言編寫，最早出現(xiàn)于2009年，此后每年都有用戶在網(wǎng)絡(luò)上發(fā)帖求助該病毒的解決方案。

正常情況下，該病毒表現(xiàn)為一種文件夾蠕蟲，和其他文件夾蠕蟲病毒一樣，通過(guò)文件共享或移動(dòng)設(shè)備進(jìn)行傳播，并會(huì)在共享目錄或移動(dòng)設(shè)備路徑下將正常的文件夾隱藏，自己則偽裝成文件夾的樣子。

然而，與其他文件夾蠕蟲不同的是，incaseformat蠕蟲病毒在代碼中內(nèi)置了一顆“定時(shí)炸彈”，蠕蟲會(huì)獲取受感染主機(jī)的當(dāng)前時(shí)間， 獲取到時(shí)間后，程序與指定的時(shí)間進(jìn)行了比對(duì)，當(dāng)條件為：

年份>2009，月份>3，日期=1 或 日期=10 或 日期=21 或 日期=29

即2009年后，每個(gè)大于3月的1號(hào)、10號(hào)、21號(hào)和29號(hào)時(shí)會(huì)觸發(fā)刪除文件操作。

然后通過(guò)DecodeDate函數(shù)拆分日期，奇妙的是，該程序中的Delphi庫(kù)可能出現(xiàn)了錯(cuò)誤，DateTimeToTimeStamp用于計(jì)算的一個(gè)變量發(fā)生異常：

導(dǎo)致轉(zhuǎn)換后的時(shí)間與真實(shí)的主機(jī)時(shí)間并不相符，因此真實(shí)觸發(fā)時(shí)間與程序設(shè)定條件不相同（原本2010年愚人節(jié)的啟動(dòng)時(shí)間，錯(cuò)誤轉(zhuǎn)換成了2021年1月13日，本次病毒爆發(fā)可能是遲到的愚人節(jié)玩笑）：

分析人員計(jì)算隨后會(huì)觸發(fā)刪除文件操作的日期為，2021年1月23和2月4號(hào)：

由于文件夾蠕蟲感染后沒有給主機(jī)帶來(lái)明顯的損失，大多數(shù)用戶都會(huì)疏于防范，且文件蠕蟲主要通過(guò)文件共享和移動(dòng)設(shè)備傳播，一旦感染后容易快速蔓延內(nèi)網(wǎng)，很多此次爆發(fā)現(xiàn)象的主機(jī)可能在很早前就已經(jīng)感染。還有一些主機(jī)已經(jīng)潛伏該病毒用戶很可能會(huì)在2021年1月23和2月4號(hào)被刪除數(shù)據(jù)。

對(duì)此，深信服安全團(tuán)隊(duì)也針對(duì)該蠕蟲病毒向廣大用戶提出防范建議：

若主機(jī)未出現(xiàn)感染現(xiàn)象（其他磁盤文件還未被刪除）：

1、不隨意重啟主機(jī)，先使用安全軟件進(jìn)行全盤查殺，并開啟實(shí)時(shí)監(jiān)控等防護(hù)功能；

2、 不隨意下載安裝未知軟件，盡量在官方網(wǎng)站進(jìn)行下載安裝；

3、 盡量關(guān)閉不必要的共享，或設(shè)置共享目錄為只讀模式；深信服安全團(tuán)隊(duì)提到深信服EDR用戶可使直接用微隔離功能封堵共享端口；

4、 嚴(yán)格規(guī)范U盤等移動(dòng)介質(zhì)的使用，使用前先進(jìn)行查殺；

5、 重要數(shù)據(jù)做好備份；

若主機(jī)已出現(xiàn)感染現(xiàn)象（其他磁盤文件已被刪除）則：

1、 使用安全軟件進(jìn)行全盤查殺，清除病毒殘留；

2、 可嘗試使用數(shù)據(jù)恢復(fù)類工具進(jìn)行恢復(fù)，恢復(fù)前盡量不要占用被刪文件磁盤的空間，由于病毒操作的文件刪除并沒有直接從磁盤覆蓋和抹去數(shù)據(jù)，可能仍有一定幾率進(jìn)行恢復(fù)；

深信服也為廣大用戶提供免費(fèi)查殺工具，可下載如下工具，進(jìn)行檢測(cè)查殺：

64位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

與此同時(shí)，深信服安全感知平臺(tái)、下一代防火墻、EDR用戶，建議及時(shí)升級(jí)最新版本，并接入安全云腦，使用云查服務(wù)以及時(shí)檢測(cè)防御新威脅。

最后，也再次提醒廣大用戶，安全無(wú)小事，一定要做好重要數(shù)據(jù)備份。針對(duì)目前還未部署備份方案的用戶，深信服企業(yè)級(jí)備份一體機(jī)可以幫助用戶防患于未然，守好數(shù)據(jù)安全的“最后一道防線”！