Incaseformat病毒解决方案参考(针对2021-01-13全国爆发)
备注:本文是直接在文档上复制的,因为要给客户看,但是我想着,可以分享,经验总结,今天2021年1月14号,各位快拿去解决问题。
2021年1月13日,全国多家单位反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多windows系统。感染主机表现为所有非系统分区文件均被删除,被删除文件分区根目录下均存在名为incaseformat.log的空文件。incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”,定时触发,重启后直接删除文件。
只要安装防病毒软件就没事,不多说,网上一大把关于这样的描述。
Incaseformat解决方案参考
目录
1 没有出现删数据的现象时,如何判断自己电脑有没有感染?
1.1 方法一:杀毒软件识别
1.2 方法二:人工排查
2 发现已感染但数据还未删除的解决办法
2.1 方法一:直接杀毒,恢复隐藏文件(推荐)
2.2 方法二
2.2.1前期操作
2.2.2数据恢复
2.2.3病毒查杀
3 发现已感染且数据已删除的解决办法
3.1病毒查杀
3.1.1方法一:拼手速,直接杀毒(测试可行)
3.1.2方法二:在PE模式下,将U盘中杀毒软件拷贝到C盘
3.2数据恢复
3.2.1前期排查
3.2.2工具恢复
4 未感染主机加固操作
4.1全盘杀毒
4.2使用U盘前进行安全检查
4.3电脑关闭自动播放功能
4.4关闭默认共享
5 天融信EDR防护方案
6 如何安装天融信EDR?
1.1 方法一:杀毒软件识别
下载防病毒软件(如天融信EDR:http://edr.topsec.com.cn/)
若扫描出现ttry.exe或tsay.exe程序时,即为感染。
1.2 方法二:人工排查
- 在C:\windows下搜索有无类似tsay.exe、ttry.exe的程序,没有最好。
中毒的情况:
- 查看注册表启动项,查看是否有msfsa指向C:\windows\tsay.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe,没有最好。
- 进入注册表,运行框(快捷键WIN+R)内搜索regedit
- 按路径寻找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
继续按路径依次点开,不再截图
中毒的情况:
2 发现已感染但数据还未删除的解决办法
这种情况很好处理,而且可以快速恢复数据,虽然程序已经开始运行,但电脑还未重启,并没有删除数据。
2.1 方法一:直接杀毒,恢复隐藏文件(推荐)
直接插入带有EDR软件的U盘,运行程序进行查杀,并且通过测试,天融信EDR能够自动恢复隐藏文件。
对该病毒进行安全分析,发现第二次爆发的时间是23号,从14至22日均不会触发删除文件的条件,所以程序暂时不会对U盘数据进行删除,可直接杀毒,恢复隐藏数据即可。如果插入U盘后,发现出现U盘数据删除的情况,参考方法二。
2.2 方法二
2.2.1前期操作
- 不要关机,不要打开任何文件夹
- 通过任务管理器结束病毒相关进程(tsay.exe、ttry.exe)
- 鼠标右键点击任务栏空白处,选择任务管理器进入即可
2) 显示“进程”->右键”结束任务”
- 删除C:\windows下的tsay.exe、ttry.exe程序(步骤见1.1)
- 删除注册表中msfsa指向C:\windows\tsay.exe 的组件(步骤见1.1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe
此外还需修复以下注册表项:
实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue
2.2.2数据恢复
- 显示原有文件:在文件夹选项里面设置, 勾选“显示隐藏文件”,去掉“隐藏已知文件类型扩展名”的勾选。
在win10中
在win7、XP中
- 计算机->组织->文件夹和搜索选项->查看
2)勾选“显示隐藏的文件。。。”
去掉“隐藏已知文件类型扩展名”的勾选
- 原有文件备份:打开D/E/F等盘,发现如下数据。删除带有.exe后缀的文件夹,将正常的文件夹(不带有.exe的文件夹)拷贝一份至C盘,其它所有盘都如此操作,进行备份。
2.2.3病毒查杀
方案一(推荐):直接插入带有EDR软件的U盘,直接运行程序,进行杀毒。杀毒完成后,再指定路径对U盘进行杀毒。
因为“前期操作”已进行了手工病毒删除,故不会运行程序直接删除U盘内容,若直接删除U盘内容,参考方案二。
方案二:
- 关机
- 在pe模式下进入电脑,将带有EDR软件的U盘插入,将EDR软件拷贝至C盘。
- 正常启动电脑,运行C盘中的EDR,进行杀毒。
3 发现已感染且数据已删除的解决办法
3.1病毒查杀
3.1.1方法一:拼手速,直接杀毒(测试可行)
直接插入带有EDR软件的U盘,在U盘数据没有被删除前尽快运行杀毒程序,进行查杀。通过测试,该病毒不会删除已运行程序(或者尽快将杀毒软件拷贝到C盘)。
3.1.2方法二:在PE模式下,将U盘中杀毒软件拷贝到C盘
- 关机
- 为防止病毒直接删除U盘中数据的情况:在pe模式下进入电脑,将带有EDR软件的U盘插入,将EDR软件拷贝至C盘
- 正常启动电脑,运行C盘中的EDR,进行杀毒
- 删除各文件夹中的incaseformat.log
3.2数据恢复
3.2.1前期排查
对病毒进行完全清除,防止恢复文件时将带有.exe的病毒文件一起恢复。
- 排查任务管理器中是否还存在与病毒相关的进程(tsay.exe、ttry.exe)
(步骤见2.2.1)
- 排查C:\windows下是否还存在tsay.exe、ttry.exe程序(步骤见1.1)
3、删除注册表中msfsa指向C:\windows\tsay.exe 的组件(步骤见1.1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe
此外还需修复以下注册表项:
实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue
3.2.2工具恢复
切勿对被删除文件的分区执行写操作,以免覆盖原有数据,常见的数据恢复软件(如:Finaldata、easyrecover、recuva、DiskGenius等)即可恢复被删除数据,大部分收费,且操作不当会使所恢复文件不完整,或者乱码,建议联系专人进行数据恢复工作。
4 未感染主机加固操作
4.1全盘杀毒
尽快在该病毒非爆炸时间进行全盘杀毒,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新。
4.2使用U盘前进行安全检查
使用U盘前用杀毒软件进行病毒扫描后再使用。
4.3电脑关闭自动播放功能
原因:自动播放功能启用时,如果自动播放设备有病毒,病毒会自动运行
步骤如下:
- 打开的运行窗口(快捷键WIN+R)中输入命令gpedit.msc
- 打开的本地组策略编辑器窗口中,依次点击“计算机配置/管理模板/Windows组件/自动播放策略”菜单项
3、右键点击“关闭自动播放”菜单项,在弹出菜单中选择“编辑”菜单项,启用->所有驱动器->应用
4.4关闭默认共享
控制面板->管理工具->服务->关闭服务server
5 天融信EDR防护方案
天融信EDR无需病毒库升级即可对该蠕虫病毒进行全面查杀和防御。
1)已安装天融信EDR的用户可对该蠕虫病毒精准查杀和全面防御。
2)未安装天融信EDR的用户,可试用企业版或下载单机版对该蠕虫病毒进行检测与查杀。
3)可对带有该病毒的U盘进行查杀,并自动恢复隐藏文件。
6 如何安装天融信EDR?
下载链接
http://edr.topsec.com.cn/
1、本地下载
2、更改安装目录,装到C盘(强调:针对已感染电脑,请装到C盘,其它盘不要动,以免后期恢复数据困难)
可以事先在C盘中新建一个文件夹,命名为TOPSECDER
1)更改安装目录
2)确定,急速安装
3、安装完成,快速查杀即可
4、出现tsay.exe、ttry.exe等为该病毒所产生程序,直接处理
- 完成后再进行全盘杀毒,不再演示
Incaseformat病毒解决方案参考(针对2021-01-13全国爆发)相关推荐
- (三十七:2021.01.13)Pre-MICCAI 2019学习(二)《前列腺近距离放射治疗中,检测粒子在CT中的3D位置和方向》
<Automatic 3D seed location and orientation in CT images for prostate brachytherapy> 讲在前面 摘要 论 ...
- 无名2021/01/13
最喜欢的风轻云淡,现在仍在追逐中 当年你说的,离开,放弃. 如今我早已释怀.甚至已经记不清,你的脸. 刚接到家里的通知,建议在外务工人员,就地过年. 如果返乡,需配合检查,提前报告行程. 感谢家乡的人 ...
- 【更新】网盘不限速下载 2021.01.13
哈喽大家好嘞! 最近一直都有好多朋友们反馈, 以往的百度网盘都不能用了, 安排,这就安排. 大家在学习知识的同时,不要忘记点赞呦! ★ KinhDown 搜集了全网,可算是找到了一个能用的! 依旧是 ...
- Incaseformat病毒是如何传播的?我们该如何防护?
2021年1月13日,没错,就是昨天!国内多省市.多行业发现incaseformat病毒的案例,并且形成规模爆发的趋势.目前,虽然已经有病毒专杀工具或安全软件能将病毒拔除,但是感染用户数据已经没了!有 ...
- incaseformat病毒突发来袭,该如何预防?
incaseformat病毒突发来袭,该如何预防? 在1月13日当天,网上很多网友声称中了一种名为 incaseformat的蠕虫病毒,把他电脑里面除了系统盘以外的磁盘文件都删除了. 病毒描述和触发 ...
- WannaCry勒索比特币蠕虫病毒解决方案
WannaCry ransomware used in widespread attacks all over the world Customer Guidance for WannaCrypt a ...
- 一次挖矿入侵处理记录(2021.01.27)
https://github.com/bg6cq/ITTS/blob/master/security/mine/README.md 转自上面链接,也是我的亲身经历,供大家学习.网络安全大家引以为戒.爱 ...
- 从预防检测到响应,腾讯御界NDR“一站式”勒索病毒解决方案
一. 背景 2021年上半年,勒索病毒席卷美国,受害企业损失动辄数千万美元.2021年,美国最大燃油管道商(Colonial Pipeline).全球最大的肉制品生产商JBS.全球500强IT咨询公司 ...
- 电动力学每日一题 2021/10/13 用Fourier变换法计算静止电荷产生的电场
电动力学每日一题 2021/10/13 用Fourier变换法计算静止电荷产生的电场 静止点电荷 具有均匀线密度的静止电荷产生的电场 具有均匀面密度的静止电荷产生的电场 用Fourier变换法计算电场 ...
最新文章
- 【Linux】 -bash-4.2#问题和Cannot allocate memory
- tornado celery mysql_Python3.7+Tornado5+Celery3+Rabbitmq3实现异步队列任务
- 乱谈数学--我理解的函数极限运算
- python下载微信公众号文章_python如何导出微信公众号文章
- 前端怎么使用jsessionid_前端搞微前端 | 侑夕 - 如何落地微前端一体化运营工作台...
- Linux netstat 命令查看80端口状态
- javascript DOM 方法
- macOS sierra 10.12 CORE Keygen系列注册机修复工具 CORE Patcher
- Meson构建系统(二)
- 又一暴强的截图工具 ShareX
- craftsmanship中文_中英文常用广告套语
- Oracle 19c VLDB and Partitioning Guide 第5章:管理和维护基于时间的信息 读书笔记
- 2021计算机考研408计算机学科专业基础综合冲刺复习提纲
- jenkins配置Pipeline项目报错
- 移动内部疯传的11篇VoLTE学习笔记,看懂了你也是技术大神(一)
- Java对接HJ212协议设备
- python里if判断空集
- 公司没大牛带,需要离职么?
- 北京科技大学计算机保研,北京科技大学考研/保研怎么样?这些数据必须知道!...
- 计算机技能大赛主持人串词,专业技能大赛主持人串词