近日，深信服安全團隊監(jiān)測到一種名為incaseformat病毒，全國各個區(qū)域都出現(xiàn)了被incaseformat病毒刪除文件的用戶。經調查，該蠕蟲正常情況下表現(xiàn)為文件夾蠕蟲，集中爆發(fā)是由于病毒代碼中內置了部分特殊日期，在匹配到對應日期后會觸發(fā)蠕蟲的刪除文件功能，爆發(fā)該蠕蟲事件的用戶感染時間應該早于1月13號，根據(jù)分析推測，下次觸發(fā)刪除文件行為的時間約為2021年1月23日和2月4日。

該蠕蟲病毒運行后會檢測自身執(zhí)行路徑，如在windows目錄下則會將其他磁盤的文件進行遍歷刪除，并留下一個名為incaseformat.log的空文件：

如當前執(zhí)行路徑不在windows目錄，則自復制在系統(tǒng)盤的windows目錄下，并創(chuàng)建RunOnce注冊表值設置開機自啟：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 

值: C:\windows\tsay.exe

情況看似簡單，但令人不解的是，該蠕蟲是通過什么方式進行傳播的呢?又為何會集中爆發(fā)?

經過安全專家對病毒文件和威脅情報的詳細分析，有了新的發(fā)現(xiàn)。該蠕蟲病毒由Delphi語言編寫，最早出現(xiàn)于2009年，此后每年都有用戶在網絡上發(fā)帖求助該病毒的解決方案解決方案：

正常情況下，該病毒表現(xiàn)為一種文件夾蠕蟲，和其他文件夾蠕蟲病毒一樣，通過文件共享或移動設備進行傳播，并會在共享目錄或移動設備路徑下將正常的文件夾隱藏，自己則偽裝成文件夾的樣子。

然而，與其他文件夾蠕蟲不同的是，incaseformat蠕蟲病毒在代碼中內置了一個“定時條件”，蠕蟲會獲取受感染主機的當前時間，然后通過EncodeDate和EncodeTime函數(shù)進行聚合：

獲取到時間后，程序與指定的時間進行了比對，觸發(fā)文件刪除的條件為：

年份>2009，月份>3，日期=1 或 日期=10 或 日期=21 或 日期=29 

自2009年起，每年4月后的1號、10號、21號和29號會觸發(fā)刪除文件操作：

然后通過DecodeDate函數(shù)拆分日期，奇妙的是，該程序中的Delphi庫可能出現(xiàn)了錯誤，導致轉換后的時間與真實的主機時間并不相符，因此真實觸發(fā)時間與程序設定條件不相同(原本2010年4月1日愚人節(jié)啟動時間，錯誤轉換成為2021年1月13日)：

分析人員計算隨后會觸發(fā)刪除文件操作的日期為，2021年1月23和2月4號：

深入分析發(fā)現(xiàn)，導致病毒計算日期發(fā)生錯誤的原因是由于DecodeDate中，DateTimeToTimeStamp用于計算的一個變量發(fā)生異常：

由于文件夾蠕蟲感染后沒有給主機帶來明顯的損失，大多數(shù)用戶都會疏于防范，且文件蠕蟲主要通過文件共享和移動設備傳播，一旦感染后容易快速蔓延內網，很多此次爆發(fā)現(xiàn)象的主機可能在很早前就已經感染。

對此，針對該蠕蟲病毒向廣大用戶提出防范建議：

若未出現(xiàn)感染現(xiàn)象(其他磁盤文件還未被刪除)：

• 勿隨意重啟主機，先使用安全軟件進行全盤查殺，并開啟實時監(jiān)控等防護功能;
• 不要隨意下載安裝未知軟件，盡量在官方網站進行下載安裝;
• 盡量關閉不必要的共享，或設置共享目錄為只讀模式;深信服EDR用戶可使用微隔離功能封堵共享端口;
• 嚴格規(guī)范U盤等移動介質的使用，使用前先進行查殺;

若已出現(xiàn)感染現(xiàn)象(其他磁盤文件已被刪除)：

• 使用安全軟件進行全盤查殺，清除病毒殘留;
• 可嘗試使用數(shù)據(jù)恢復類工具進行恢復，恢復前盡量不要占用被刪文件磁盤的空間，由于病毒操作的文件刪除并沒有直接從磁盤覆蓋和抹去數(shù)據(jù)，可能仍有一定幾率進行恢復;

我們?yōu)閺V大用戶提供免費查殺工具，可下載如下工具，進行檢測查殺：

• 64位系統(tǒng)下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
• 32位系統(tǒng)下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

最后，也再次提醒廣大用戶，安全無小事，一定要做好重要數(shù)據(jù)備份，以及主機安全防護措施，才能防患于未然!