2021年1月13日，威努特技术服务部接到大量服务过的企业用户电话咨询，咨询内容主要是网络上爆发的Incaseformat蠕虫病毒是否会对企业工业控制系统有影响，已经安装了主机卫士的工程师站、上位机是否能够防御这类病毒。

　　1

　　病毒描述

　　威努特攻防专家团队立即对这类病毒样本进行分析，发现该病毒属于蠕虫病毒，由于被删除文件分区根目录下均存在名为incaseformat.log的空文件，因此网络上才将此病毒命名为Incaseformat病毒。该蠕虫病毒主要通过U盘等方式进行传播，当其感染U盘后，U盘下的原文件夹将被隐藏，病毒会伪装成原文件夹的图标。

　　当用户插入受感染U盘并点击运行后该蠕虫病毒会自动复制到系统盘Windows目录下，并创建注册表自启动，而一旦用户重启主机，病毒会立即感染除C盘之外其他磁盘上的文件夹，并在指定时间段内删除系统中C盘之外磁盘上的所有数据。

　　值得注意的是，这并不是一个新病毒，至少是个2014年的老病毒，杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun，通过名称可以判断该病毒是在Windows平台下通过移动介质传播的蠕虫病毒。

　　该样本作为一个老病毒，直到2021年1月13日才触发删除用户文件，主要原因是该病毒所使用的delphi库中的DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误，最终导致 DecodeDate 计算转换出的系统当前时间错误。不仅如此，该病毒设定的删除日期不止今天（1月13日），最近的下一次删除时间为1月23日。

　　2

　　解决方案

　　经过威努特攻防专家组验证，由于该病毒只有在Windows目录下执行时会触发删除文件行为，而重启是病毒在Windows目录下启动主要途径，因此，已经安装主机卫士的产品可以拦截Incaseformat蠕虫病毒的执行，或通过强制访问控制策略阻止其删除行为，保障工业主机持续稳定运行。

　　图 1 本地执行

　　图 2 拦截日志

　　由于病毒本身只能通过U盘等移动介质进行传播，并无相关网络传播特征，也可以利用主机卫士的移动介质管控功能对U盘的使用进行严格把控，防止因非法滥用导致的病毒引入。

　　图 3 外设控制

　　图 4 外设管控日志

　　3

　　病毒排查

　　第一步：

　　排查工业控制系统内Windows目录下是否存在图标为文件夹的tsay.exe和ttry.exe文件，若存在这两个文件，及时删除即可，删除前切勿对主机执行重启操作。

　　第二步：

　　排查工业控制系统Windows的任务管理器是否有tsay.exe或ttry.exe进程，如果有，则可手动关闭。

　　第三步：

　　排查工业控制系统Windows目录下是否有驻留的文件tsay.exe和ttry.exe及注册表相关启动项（RunOnce）。

　　注：已经安装工控主机卫士的企业用户，建议核查相关策略是否正常开启。

　　4

　　安全建议

　　工业控制系统大部分应用于国家关键信息基础设施领域，而工业控制系统内关键工程师站、上位机、数据库中所存储的数据更是对工业控制系统有着重要的价值，一旦被删除，将会导致生产停滞，甚至在各别工业场景中会导致生产安全事故，所以工业企业要尤为重视对于工业主机的安全防护。

　　威努特工控主机卫士通过“四重锁定，七大核心功能”构建工业主机安全计算环境。

　　◇ 应用锁定

　　采用“白名单”防护机制，锁定工业主机上应用程序的运行，阻止任何白名单外的程序运行，避免恶意代码、非法程序的运行，最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。

　　◇ 系统锁定

　　通过安全基线管理和强制访问控制功能，锁定工业主机运行环境和资源，确保工业主机上的设置符合安全基线策略要求，并按照设定的主客体制定读写访问控制策略进行访问。

　　◇ 网络锁定

　　锁定工业主机的网络访问环境，只允许工业主机和特定的服务器之间进行通信，控制恶意代码的在网络内部的传播、扩散。

　　◇ 外设锁定

　　锁定外接输入设备的使用，只有经过认证的安全可信的USB设备才可以在工业主机上运行，防止通过U盘等外接输入设备引入恶意程序导致感染病毒和泄露敏感数据。