国内突然爆发暴力蠕虫病毒!已有大量用户中招:所有文件被删

共 1772字,需浏览 4分钟

 ·

2021-01-20 00:16

程序员的成长之路
互联网/程序员/技术/资料共享 
关注


阅读本文大概需要 3.2 分钟。

来自:扩展迷EXTFANS

前几天,不少关于计算机安全厂商和相关论坛都发布了一则紧急公告。

公告显示:最近,一种名叫“incaseformat”的蠕虫病毒正在国内肆意传播,造成了大范围影响。

据查询到的信息,截止目前,国内已有多省市多行业的大量用户反馈中招。

中招用户均表示,自己电脑中除C盘之外的其他文件都突然被删除,且磁盘中可能被创建“incaseformat”文本文档。


火绒安全播报提到,火绒工程师接到用户求助后,查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。


说到蠕虫病毒,大家应该都已经不陌生了。

尤其是在XP时代,许多用户都有过被勒索蠕虫感染的恐怖经历。

其不断复制自身的特性,导致它具有非常强的传播性。

用户机器被感染后,往往会通过U盘自我复制感染到其他电脑,导致电脑中磁盘文件被删除,造成极大损失。


最让人头疼的是,蠕虫病毒会伪装成其他文件,具有一定的欺骗性。

即便被安全软件查杀到,也经常会被用户错当成“误报”,然后对其进行信任处理。

(厂长提醒:真正的文件夹及文档不会有.exe后缀。)



因此,很可能表面上用户电脑没有什么风险,但其实病毒已经潜伏了多年。

直到病毒发作删掉了文件后,大家才后知后觉。

多年来,蠕虫病毒已经壮大到成千上万种,活跃度一直居高不下。各大企业、高校、打印店等都是蠕虫病毒的重灾区。


安全团队溯源后发现,本次“incaseformat”蠕虫病毒在国内爆发的过程为:

病毒执行后,会自复制到系统盘Windows目录下,并创建注册表设置开机自启。

一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程就会删除除了系统盘外的所有路径下的文件,简单又粗暴。


另外,工程师还分析发现,此次的病毒与常见的蠕虫病毒不同。

除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,“incaseformat”还设置了定时删除文件的逻辑。

一旦满足设定的时间,它就会删除用户电脑中除C盘之外的其他盘的所有文件。

而且,该病毒设定的删除任务不止一次,排查结果显示,下一次的删除时间为1月23日,下下一波为2月4日。


这意味着,如果用户电脑中还有残留的病毒,将面临再次被删除文件的危害。

因此,各大安全软件厂商提醒广大用户,及时使用安全软件全盘扫描,及时查杀病毒。

目前,包括火绒安全、360等杀毒软件早已收录该病毒,用户只需更新病毒库即可进行查杀。


需要强调的是,该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动。

因此,多家安全厂商也建议用户在未做好安全防护及病毒查杀工作前,请勿重启主机。



最后,厂长了解到,这次蠕虫病毒爆发的原因其实非常乌龙。

因为安全团队分析后发现,原本“incaseformat”设定的爆发时间为2009年3月份之后的某段日期。

然而,病毒作者在编写代码时出现了Bug,导致判断时间出现了偏差。

所以,早在十年前就应该爆发的文件删除操作,推迟到2021年才执行......


当然,虽然存在一点Bug,但该病毒的破坏力还是非常强的。

再加上该病毒没有具体的针对性,也就是说不论是个人电脑还是单位电脑,都有被感染的可能。

根据网友爆料,大数据显示,1月13日当天,国内的电脑维修行业生意极其火爆。

而这都是因为大量用户遭到蠕虫病毒感染,迫于无奈只能寻求外界帮助恢复被删除的数据。


无论如何,最近还请大家不要随意下载安装未知软件,并严格规范U盘等工具的使用。

如果发现中毒,请立即断开电脑的网络连接,并使用电脑防护软件进行病毒查杀。

切记:不要重启电脑!不要重启电脑!不要重启电脑!

推荐阅读:

从零实现一个日志框架(带源码)

MySQL 中主库跑太快,从库追不上怎么整?

5T技术资源大放送!包括但不限于:C/C++,Linux,Python,Java,PHP,人工智能,单片机,树莓派,等等。在公众号内回复「2048」,即可免费获取!!

微信扫描二维码,关注我的公众号

朕已阅 

浏览 18
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报