事件追踪

　　2021年1月13日，Incaseformating病毒大面积爆发，引起了用户的恐慌。病毒的感染对象为windows操作系统，中毒表现为除C盘其他数据分区全部被清空，只留下一个名为Incaseformat.log的文本文档，该病毒也因此得名。

　　Incaseformat病毒时间戳为2007/3/3，2009年原始样本首次出现，2010年原始样本恶意行为首次触发，2014年被篡改版本首次出现，2021年被篡改后样本恶意行为首次触发。预计1月23日会再次触发攻击行为。

　　Incaseformat病毒为常规蠕虫病毒，目前已知唯一的传播途径为USB等接口的移动设备，传播能力较弱。主流的安全软件在运行状态配置完善的前提下均能查杀此病毒，在厂商病毒库中被命名为Worm.Win32.Autorun。

　　蠕虫病毒主要作用于老旧版本的操作系统。多家主流安全厂商通告称，经客户反应，该病毒感染了全国各区域各行业的部分计算机系统，各地网信办、数据监测平台及事业单位多进行了警报。

　　（图片转载自360安全团队）

　　病毒分析

　　Incaseformat病毒使用Borland Delphi语言编译，原始文件名为Autorun.exe，产生衍生文件名为tsay.exe。

　　原始文件运行时，衍生Tsay.exe被释放在C:\windows\tsay.exe，病毒会伪装文件夹图标。

　　病毒会创建注册表键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　以实现自启动，并禁用显示隐藏文件

　　该病毒在电脑重启后将执行，释放ttry.exe以执行主逻辑。

　　此时除C盘外其它分区将被清空。该病毒将复制自身到每个被清空的分区根目录下，命名为123并伪装为文件夹图标并隐藏。还会强行篡改注册表，导致系统中的“显示系统隐藏文件”功能以及“显示文件扩展名”功能失效。故在被清空的分区中只能看到Incaseformat.log的文本文档。

　　如果U盘插入被感染的计算机，作为数据分区之一，同样会被感染。被感染的U盘再插入其它主机，其中的执行文件会作为原始文件运行。

　　原始病毒与被篡改后病毒唯一的不同为Sysutils::DateTimeToTimeStamp库函数所使用的全局变量IMSecsPerDay（一天的总毫秒数）。函数库内代码往往为人所忽略。此参数的变化使得攻击事件被推迟到2021年1月13日。这可能是在测试过程中产生的bug，也可能是恶意人员有意为之。

　　处置建议

　　如果发现，主机有感染风险

　　千！万！不！要！关！机！或！重！启！

　　可以使用主流安全软件对系统进行查杀，注意白名单要严格管理。

　　如不具备安装主流安全软件的条件，可以：

　　停止下列进程：

　　tsay.exe

　　ttry.exe

　　删除下列文件：

　　C:\windows\tsay.exe

　　C:\Windows\ttry.exe

　　删除下列键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　为防止病毒传播，应当严格管理存储介质接入。

　　由于该病毒未对文件执行破坏或覆盖操作，大部分被删除数据存在还原的可能。对于重要或敏感数据，请联系专业机构。

　　（作者：王家和，研发工程师，主要研究方向：渗透测试）