incaseformat蠕虫病毒样本分析

@[TOC]incaseformat蠕虫病毒样本分析

前言

2021年1月13日，incaseformat病毒在全网集中爆发，中毒用户C盘以外所有文件被删除。该病毒会格式化系统盘外的分区及删除数据，感染后会通过U盘进行传播，传播性强，隐蔽性高，危害性大。

安全工程师在该事件首次报告的逆向分析中，推测病毒程序制作存在错误，导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是，通过火绒威胁情报系统以及样本分析，工程师再次对病毒深度溯源发现，该病毒蛰伏至今才爆发，或为攻击者的精心策划。

根据工程师分析，该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒，最早可追溯至2009年，其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期（愚人节）来看，不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种，最早可追溯至2014年，并被设置在2021年1月13日爆发。

病毒格式

incaseformat是基于木马的应用程序，可以接管目标计算机并破坏存储在其上的所有软件和数据。作为典型的特洛伊木马，Incaseformat可能还会窃取个人信息或在受感染的计算机内注入外部恶意软件，例如勒索软件或间谍软件。

正如我们所说，该病毒属于特洛伊木马，因此应该通过多种伪装的网络内容秘密传播。在大多数情况下，Incaseformat的受害者并不知道他们在计算机中释放的是危险的特洛伊木马病毒。此外，通常没有明显的感染迹象，至少直到恶意软件完成其恶意程序后才可见。因此，受害者通常在相当长的一段时间内都不知道对其设备的攻击。

许多人认为拥有最新的防病毒应用程序是保护计算机免受恶意软件攻击的全部所需。但是，情况并非总是如此，尤其是对于新发布的威胁（例如Incaseformat）。

确实，有高质量的防病毒程序可以很好地检测和清除特洛伊木马的威胁，但是它们仅对已经在其病毒数据库中列出的那些威胁有效。不过，Incaseformat是最近才被感染的病毒，其病毒定义可能尚未包含在其他一些可靠的防病毒应用程序的数据库中。因此，即使您拥有具有最新更新的高质量保护程序，它也仍然可能无法找到并删除该恶意软件，在这种情况下，如果要处理该问题，则需要使用专业的删除工具尽快采用Incaseformat。

如何在系统中识别Incaseformat？

可悲的是，没有特定的方法可以判断出像Incaseformat这样的木马是否感染了您的计算机。但是，根据恶意软件在计算机内部的运行方式而定，有些迹象可能会警告您系统上的某些错误。

例如，如果将该木马用作间谍工具，则可能根本没有任何症状。该恶意软件可能会默默地跟踪您的按键，屏幕以及所有在线和离线活动，而不会触发任何明显的迹象表明其存在。但是，如果对该木马进行编程以破坏您的操作系统，则您可能会开始遇到系统发行者，软件错误，突然崩溃，严重的运行速度下降和普遍不稳定的情况，这些危险可能会引起危险。

诸如Incaseformat之类的感染也可能在计算机内部插入其他病毒，例如Ransomware，如果发生这种情况，您会注意到文件突然变得不可访问。勒索赎金的通知也可能会出现在您的屏幕上。

如果您的某些文件已被删除，或者您的应用程序未经您的许可而修改了设置，这也可能意味着感染了特洛伊木马。

最主要的是，一旦检测到感染，您就不会浪费任何时间并采取所有必要的步骤将其删除，以防止其进一步干扰计算机。

Incaseformat病毒清除

像Incaseformat这样的特洛伊木马很难处理，但是尝试按照以下快速说明将它们删除不会有什么害处：

1.点击Windows的“开始”按钮。
2.从菜单中选择“控制面板”，然后导航到“程序和功能”。
3.在“程序和功能”中选择“卸载程序”。
4.搜索Incaseformat，如果检测到，请卸载它。
5.搜索其他不熟悉或外观可疑的程序，并将其卸载。

注意！请记住，即使您从“控制面板”中检测到并卸载了Incaseformat，也可能无法完全摆脱特洛伊木马。这就是为什么我们请您使用下面指南中更详细的工具来进行完全删除。

具体步骤

注意！本指南中将包含一些步骤，要求您退出浏览器。为了返回此页面并完成对Incaseformat的删除，请确保在继续操作之前将其添加为书签。
Incaseformat的实际删除过程开始于检测与特洛伊木马相关的过程并停止它们。为此，您需要首先从键盘上按CTRL + SHIFT + ESC键才能打开Windows任务管理器。输入后，请单击“进程”选项卡，然后尝试查找发现有恶意的进程。请记住，该木马可能会伪装并隐藏在看起来合法的伪造程序下。

当你确定有没有留在任务管理器恶意进程，回到桌面和抱团开始和[R 。这将在屏幕上启动“运行”窗口，您必须在空白文本字段中键入appwiz.cpl。
单击“确定”运行刚刚键入的命令，这将启动“控制面板”。您要做的就是寻找可疑或可疑的条目，然后将其删除。如果屏幕上弹出以下窗口，则在给定条目上单击“卸载”时，请确保选择“否”。
一旦“控制面板”中没有可疑条目，就可以开始使用“系统配置”应用程序了。启动它的最快方法是在Windows搜索字段中键入msconfig，然后按Enter。

选择图像上显示的“启动”选项卡，并仔细检查此列表中带有检查标记的条目。诸如Incaseformat之类的木马倾向于添加一些启动应用程序，以帮助它们在系统启动时运行。您必须检测这些应用程序并取消选中它们。最好仔细研究具有“未知”制造商的应用，因为它们可能是威胁的一部分。

如果您有理由认为PC上存在更大的威胁（例如勒索软件或其他恶意软件），请确保执行以下步骤：

同时按下键盘上的Start和 R键，然后在弹出的Run框中复制以下命令。

记事本％windir％/ system32 / Drivers / etc / hosts

点击Enter键执行命令。一旦这样做，计算机上的Hosts文件就会打开。Hosts文件是一个简单的文本文件，可以为您提供有关您的计算机是否被黑客入侵的重要信息。为了进行检查，请转到文件的末尾，将其写为“ Localhost”，并检查Localhost下是否有其他可疑的IP地址。下图可以使您更清晰地了解要查找的内容。

最后，您需要查找并删除Incaseformat可能已添加到注册表中的所有内容。为此，您需要首先通过按键盘上的开始和R键，在“运行”框中键入regedit，然后按Enter ，以打开注册表编辑器。启动编辑器后，使用“查找”功能（CTRL + F组合键）在空白文本字段中键入特洛伊木马的名称来查找特洛伊木马。单击“查找下一个”按钮，并确保您删除使用该名称或类似名称找到的每个条目。

如果找不到以此方式的更多条目，请手动转到以下目录并删除：

HKEY_CURRENT_USER / Software /名称为奇数或可疑的目录。
HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run /名称为奇数或可疑的目录。
HKEY_CURRENT_USER /软件/ Microsoft / Internet Explorer / Main /具有奇数或可疑名称的目录。
如果在完成上述所有说明之后，您的计算机上仍然存在特洛伊木马的痕迹，请使用我们建议使用的专业删除工具来扫描整个系统，并删除所有未检测到的隐藏文件。