首页 > 安全 > 正文

不必恐慌:格格病毒今日发作 奇安信天擎可防可杀

2021-01-13 21:59:16   来源:IT运维网>

格格病毒(incaseformat)今日发作,电脑中招后,除系统C盘以外其他文件全部被删除。奇安信CERT研判,该病毒为多年前的老病毒,不具网络传播性,奇安信天擎可支持该病毒查杀和预防,已安装天擎用户不受任何影响,不必恐慌。

奇安信安全团队发现,格格病毒通过U盘等移动存储介质传播,具备定时删除文件的能力,会在特定时间定时发作,删除电脑中除C盘之外的其他盘符中的所有文件,并在磁盘根目录创建“incaseformat.txt”文本文档。

奇安信安全专家表示,关于此次格格病毒发作事件,有以下四个需要注意的事实:

1. 今天是一个“病毒发作事件”,不是“病毒传播事件”。这个病毒类似“定时炸弹”,如果在机器中潜伏,今天会发作。
2. 病毒没有网络传播性,不必恐慌。它是通过U盘和文件共享传播的老病毒,最早出现在几年前,一般没有安装杀毒软件的电脑才会中招。

3、因为该病毒定时发作,如果今天未开电脑,建议明日再开机杀毒。

4、对于已经中招的电脑,把专杀放在U盘上启动,待杀毒完成后,可请专业公司恢复数据。

病毒相关信息如下:

【恶意程序家族】:incaseformat

【关键字】:#incaseformat.txt    #tsay.exe   #ttry.exe  

【家族详情】:
病毒类型:蠕虫

传播方式:
U盘隐藏正常文件夹,并替换为同名样本母体

行为特征:
1. 运行后拷贝副本至C:\windows\tsay.exe、C:\windows\ttry.exe
2. 创建注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa  C:\windows\tsay.exe
3. 重启后启动项中的母体文件运行,并删除系统盘以外盘符所有文件,然后释放大小为0kb的文件incaseformat.txt。
 
安全防护建议:

1. 提高员工安全意识,使用U盘前用杀毒软件进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。
2. 提升内网杀毒软件覆盖率,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新。
3. 对于不慎感染的终端,使用奇安信天擎进行全盘查杀。查杀前确认信任区是否不明文件,清理信任区之后再进行全盘扫描。

尚未安装的奇安信天擎的用户,可以使用奇安信“格格病毒”(incaseformat)专杀工具,对系统进行全盘扫描,并清除病毒。清理完病毒之后尝试使用专业数据恢复工具或寻找第三方数据恢复公司进行数据恢复。
 
专杀工具下载地址:
 http://dl.qianxin.com/skylar6/FocusTool.latest.zip



免责声明:本网站(www.365master.com)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。电话:010-88558043)

相关热词搜索:格格病毒 奇安信 天擎

上一篇:2020年12月头号恶意软件:Emotet再度成为头号恶意软件威胁
下一篇:亚信安全发现:新冠疫苗制造企业遭网络攻击 折射移动钓鱼攻击威胁

扫码关注公众号

扫码订阅杂志

扫码下载2020年《混合多云行业应用调查报告》

扫码下载《2021中国灾备行业白皮书》