1月13日,不少关于计算机安全厂商和相关论坛都发布了一则紧急公告。
公告显示:最近,一种名叫“incaseformat”的蠕虫病毒正在国内肆意传播,造成了大范围影响。据查询到的信息,截止目前,国内已有多省市多行业的大量用户反馈中招。中招用户均表示,自己电脑中除C盘之外的其他文件都突然被删除,且磁盘中可能被创建“incaseformat”文本文档。火绒安全播报提到,火绒工程师接到用户求助后,查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。尤其是在XP时代,许多用户都有过被勒索蠕虫感染的恐怖经历。用户机器被感染后,往往会通过U盘自我复制感染到其他电脑,导致电脑中磁盘文件被删除,造成极大损失。最让人头疼的是,蠕虫病毒会伪装成其他文件,具有一定的欺骗性。即便被安全软件查杀到,也经常会被用户错当成“误报”,然后对其进行信任处理。(厂长提醒:真正的文件夹及文档不会有.exe后缀。)
因此,很可能表面上用户电脑没有什么风险,但其实病毒已经潜伏了多年。多年来,蠕虫病毒已经壮大到成千上万种,活跃度一直居高不下。各大企业、高校、打印店等都是蠕虫病毒的重灾区。安全团队溯源后发现,本次“incaseformat”蠕虫病毒在国内爆发的过程为:病毒执行后,会自复制到系统盘Windows目录下,并创建注册表设置开机自启。一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程就会删除除了系统盘外的所有路径下的文件,简单又粗暴。另外,工程师还分析发现,此次的病毒与常见的蠕虫病毒不同。
除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,“incaseformat”还设置了定时删除文件的逻辑。一旦满足设定的时间,它就会删除用户电脑中除C盘之外的其他盘的所有文件。而且,该病毒设定的删除任务不止一次,排查结果显示,下一次的删除时间为1月23日,下下一波为2月4日。这意味着,如果用户电脑中还有残留的病毒,将面临再次被删除文件的危害。因此,各大安全软件厂商提醒广大用户,及时使用安全软件全盘扫描,及时查杀病毒。目前,包括火绒安全、360等杀毒软件早已收录该病毒,用户只需更新病毒库即可进行查杀。需要强调的是,该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动。因此,多家安全厂商也建议用户在未做好安全防护及病毒查杀工作前,请勿重启主机。
最后,厂长了解到,这次蠕虫病毒爆发的原因其实非常乌龙。
因为安全团队分析后发现,原本“incaseformat”设定的爆发时间为2009年3月份之后的某段日期。然而,病毒作者在编写代码时出现了Bug,导致判断时间出现了偏差。所以,早在十年前就应该爆发的文件删除操作,推迟到2021年才执行......当然,虽然存在一点Bug,但该病毒的破坏力还是非常强的。再加上该病毒没有具体的针对性,也就是说不论是个人电脑还是单位电脑,都有被感染的可能。根据网友爆料,大数据显示,1月13日当天,国内的电脑维修行业生意极其火爆。而这都是因为大量用户遭到蠕虫病毒感染,迫于无奈只能寻求外界帮助恢复被删除的数据。无论如何,最近还请大家不要随意下载安装未知软件,并严格规范U盘等工具的使用。如果发现中毒,请立即断开电脑的网络连接,并使用电脑防护软件进行病毒查杀。
发表评论