【畅聊IT 28】incaseformat集中爆发，文件惨遭删除！如何让病毒不再肆意横行？

1月13日，安全媒体被一则消息刷屏！

当天，某公司官微、技服公众号等均已发文公告病毒详情并提供解决方案！

官微：突发！incaseformat蠕虫病毒来袭，警惕文件遭删除

技术服公众号：为何incaseformat病毒今日集中爆发，下次爆发时间为？

社区：为何incaseformat病毒集中爆发，下次爆发时间为？（内含详细解决方案）

incaseformat蠕虫病毒简介：

该蠕虫病毒由Delphi语言编写，最早出现于2009年，正常情况下，该病毒表现为一种文件夹蠕虫，和其他文件夹蠕虫病毒一样，通过文件共享或移动设备进行传播，并会在共享目录或移动设备路径下将正常的文件夹隐藏，自己则伪装成文件夹的样子。然而，与其他文件夹蠕虫不同的是，incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”，蠕虫会获取受感染主机的当前时间，并将程序与指定的时间进行了比对，触发文件删除！

触发条件为：年份>2009，月份>3，日期=1 或日期=10 或日期=21 或日期=29

即自2009年起，每年4月后的1号、10号、21号和29号会触发删除文件操作！按照程序原设定，该病毒应在2020年4月1日触发，但由于程序中的Delphi库出现错误导致将时间转换成了2021年1月13日。另，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2月4日。

某公司SIP、AF、EDR等安全防护产品均可进行检测和查杀！

同时，某公司还为广大用户提供免费查杀工具，如有需要，可通过如下链接下载使用：

64位系统下载链接：
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z


32位系统下载链接：
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

---

本期话题：

1、您对蠕虫病毒的了解有多少？身边是否有发生过蠕虫感染案例？

2、对于下一次incaseformat病毒暴发，您做了哪些预防措施？

3、您的电脑是否安装有杀毒软件或网络出口部署有安全防护产品，防护效果如何？

......

包括但不限于以上话题！

畅聊时间：2021年1月21日-2月22日

互动奖励：

1、幸运奖：本帖设置1000S豆回帖奖励，每次回复有机会获得20S豆
2、建议采纳奖：凡提出问题或改进建议被采纳的，奖励100S豆/条！

3、最高人气奖：回复的内容被管理员设置为优秀且点赞数最多的可获得价值春节零食大礼包一份！

PS：要求点赞数量至少10个以上

话题回顾：

->>>点击查看往期话题

1、您对蠕虫病毒的了解有多少？身边是否有发生过蠕虫感染案例？
蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址，接着对这一地址段的主机扫描，当扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。同时，蠕虫程序生成多个副本，重复上述流程。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单
2、对于下一次incaseformat病毒暴发，您做了哪些预防措施？
云桌面平台已巡检完毕，状态良好。另外在公共域和互联网域内部署了终端安全EDR管理中心，为现网在网的58台云桌面终端安装了杀毒软件，并做了风险扫描，
针对已发现的病毒已处理完毕，为了后续云桌面平台和业务稳定运行，建议做好以下几个安全防护措施：
1、升级和加固互联网域和公共域防火墙的特征库，增强病毒防护能力。
2、增加上网行为管理等安全设备，针对应用做好安全防护。
3、终端安装EDR，以保护终端系统和数据安全
4、虚拟机做好备份，若被删除文件可以通过备份进行恢复
3、您的电脑是否安装有杀毒软件或网络出口部署有安全防护产品，防护效果如何？
部署了EDR，已查出该病毒并删除

1、您对蠕虫病毒的了解有多少？身边是否有发生过蠕虫感染案例？
蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址，接着对这一地址段的主机扫描，当扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。同时，蠕虫程序生成多个副本，重复上述流程。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单

蠕虫（worm）也可以算是病毒中的一种，但是它与普通病毒之间有着很大的区别。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合，等等。
2、对于下一次incaseformat病毒暴发，您做了哪些预防措施？
云桌面平台已巡检完毕，状态良好。另外在公共域和互联网域内部署了终端安全EDR管理中心，为现网在网的58台云桌面终端安装了杀毒软件，并做了风险扫描，
针对已发现的病毒已处理完毕，为了后续云桌面平台和业务稳定运行，建议做好以下几个安全防护措施：
1、升级和加固互联网域和公共域防火墙的特征库，增强病毒防护能力。
2、增加上网行为管理等安全设备，针对应用做好安全防护。
3、终端安装EDR，以保护终端系统和数据安全
4、虚拟机做好备份，若被删除文件可以通过备份进行恢复
3、您的电脑是否安装有杀毒软件或网络出口部署有安全防护产品，防护效果如何？
部署了EDR，已查出该病毒并删除

全国各个区域都出现了被incaseformat病毒删除文件的用户。经调查，该蠕虫正常情况下表现为文件夹蠕虫，集中爆发是由于病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，爆发该蠕虫事件的用户感染时间应该早于1月13号，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2月4日。提前预防，就能避免和减少损失。

1、您对蠕虫病毒的了解有多少？身边是否有发生过蠕虫感染案例？
答：蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后，蠕虫会以这些计算机为宿主继续扫描并感染其他计算机，这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播，按照指数增长的规律分布自己，进而及时控制越来越多的计算机。
2、对于下一次incaseformat病毒暴发，您做了哪些预防措施？
下载了edr查杀工具，对家里的电脑进行检测，发现了8个安全隐患，都是和破解工具软件和注册机有关，看来盗版软件真的不安全，但又没有好办法，谁叫咱为了省钱呢。
3、您的电脑是否安装有杀毒软件或网络出口部署有安全防护产品，防护效果如何？
答：杀毒软件没安装，只装了360的安全卫士，定期用它进行扫描。有时候使用某公司的专杀工具扫描。效果还可以，一般的病毒还是可以防护的。

1、您对蠕虫病毒的了解有多少？身边是否有发生过蠕虫感染案例？

   多少有些了解，毕竟也修机多年，蠕虫是以自我复制为主，不借助程序就能运行，主要特征就是占有资源，拒绝服务，应该也发生这样的病毒，但可能没有太在意，破坏力相对”勒索病毒““深蓝”差点，直观上就是电脑变慢，光重做C盘可能无济于事，或者做完系统后不要点击其他盘符，直接查杀。

2、对于下一次incaseformat病毒暴发，您做了哪些预防措施？

这个老病毒了，虽然晚了十几年，但并没有爆发的趋势，毕竟也不是当年杀毒软件都需要几百块的年代了，补丁跟上，杀毒完备，不是太大问题。

3、您的电脑是否安装有杀毒软件或网络出口部署有安全防护产品，防护效果如何？

杀毒是统招的360终端，防火墙有某公司和某公司。

1、您对蠕虫病毒的了解有多少？身边是否有发生过蠕虫感染案例？
并不了解，就觉得跟勒索病毒、挖矿病毒这些病毒似的也是病毒的一种。

2、对于下一次incaseformat病毒暴发，您做了哪些预防措施？
将EDR更新成正式版，保证病毒库最新，先将服务器安装EDR的扫描查杀，终端因为没有安装就用某公司提供的工具通过OA通知下发扫描，随时关注AF上的提醒。https://edr.sangfor.com.cn/#/introduction/all_tools
3、您的电脑是否安装有杀毒软件或网络出口部署有安全防护产品，防护效果如何？
有，电脑上免费的，出口上有墙，办公和服务器端网络分离，服务器方面安全防护多，终端这边相对薄弱些

有某公司的守护不担心啦！

小企业别说防火墙了，好点的路由器都不想买，觉得没必要。
好多公司没有吃过这个亏 哈哈

蠕虫病毒是常见的病毒形态，目前没有受到过蠕虫病毒攻击，主要预防方法应该是注意定期扫描，激活活动扫描等主动防御策略，另外就是要注意备份数据；

1、您对蠕虫病毒的了解有多少？身边是否有发生过蠕虫感染案例？
并不了解，就觉得跟勒索病毒、挖矿病毒这些病毒似的也是病毒的一种。

2、对于下一次incaseformat病毒暴发，您做了哪些预防措施？
将EDR更新成正式版，保证病毒库最新，先将服务器安装EDR的扫描查杀，终端因为没有安装就用某公司提供的工具通过OA通知下发扫描，随时关注AF上的提醒。https://edr.sangfor.com.cn/#/introduction/all_tools
3、您的电脑是否安装有杀毒软件或网络出口部署有安全防护产品，防护效果如何？
有，电脑上免费的，出口上有墙，办公和服务器端网络分离，服务器方面安全防护多，终端这边相对薄弱些

病毒不是少了，而是更深度，更深层，更理性化

单位用的防病毒软件还可以，没遇到过类似事件；

有某公司的守护不担心啦！