瑞星卡卡安全论坛

针对昨日（2021年1月13日）Incaseformat蠕虫病毒爆发问题，瑞星加更内容，广大用户赶紧来看。如果遇到病毒问题，请拨打瑞星客服电话：400-660-8866，如需进行数据恢复，请根据下方教程自行恢复或拨打瑞星数据恢复电话：01082678866-520。

针对Incaseformat蠕虫病毒瑞星单独开发了专杀工具，未安装瑞星的用户可下载使用：http://rsdownload.rising.com.cn/for_down/Incaseformat/Incaseformat_kill.exe

病毒危害：

此病毒伪装成文件夹图标，运行之后会复制自身到系统目录，设置自身副本为开机自启。病毒开机自启动后，将会感染除C盘之外的其他磁盘上的文件夹，并在指定的时间段内删除系统中C盘之外的磁盘上的所有数据。该病毒作者修改了病毒代码中库函数Sysutils::DateTimeToTimeStamp中使用的一个常量，将该值由 86400000 修改成了 94854340，导致病毒爆发的时间出现偏差，本来应该在2010年4月1日爆发的病毒推后到2021年1月13号。病毒以后每个月都会爆发，以下表格列举出2021年病毒爆发的时间段：

病毒爆发时间	结束时间
2021-01-13 08:50:17	2021-01-14 11:11:11
2021-01-23 05:58:26	2021-01-24 08:19:20
2021-02-04 07:48:24	2021-02-05 10:09:18
2021-02-13 02:35:38	2021-02-14 04:56:33
2021-02-15 07:17:27	2021-02-16 09:38:22
2021-02-25 04:25:36	2021-02-26 06:46:31
2021-03-09 06:15:34	2021-03-10 08:36:28
2021-03-18 01:02:49	2021-03-19 03:23:43
2021-03-21 08:05:32	2021-03-22 10:26:26
2021-03-31 05:13:41	2021-04-01 07:34:35
2021-04-12 07:03:39	2021-04-13 09:24:33
2021-04-21 01:50:53	2021-04-22 04:11:48
2021-04-23 06:32:42	2021-04-24 08:53:36
2021-05-03 03:40:51	2021-05-04 06:01:45
2021-05-15 05:30:49	2021-05-16 07:51:43
2021-05-24 00:18:03	2021-05-25 02:38:58
2021-05-27 07:20:46	2021-05-28 09:41:41
2021-06-06 04:28:56	2021-06-07 06:49:50
2021-06-18 06:18:53	2021-06-19 08:39:48
2021-06-27 01:06:08	2021-06-28 03:27:02
2021-06-30 08:08:51	2021-07-01 10:29:45
2021-07-10 05:17:00	2021-07-11 07:37:54
2021-07-22 07:06:58	2021-07-23 09:27:52
2021-07-31 01:54:13	2021-08-01 04:15:07
2021-08-02 06:36:01	2021-08-03 08:56:56
2021-08-12 03:44:10	2021-08-13 06:05:05
2021-08-24 05:34:08	2021-08-25 07:55:02
2021-09-02 00:21:23	2021-09-03 02:42:17
2021-09-05 07:24:06	2021-09-06 09:45:00
2021-09-15 04:32:15	2021-09-16 06:53:09
2021-09-27 06:22:13	2021-09-28 08:43:07
2021-10-06 01:09:27	2021-10-07 03:30:22
2021-10-08 05:51:16	2021-10-09 08:12:10
2021-10-18 02:59:25	2021-10-19 05:20:19
2021-10-30 04:49:23	2021-10-31 07:10:17
2021-09-05 07:24:06	2021-09-06 09:45:00
2021-09-15 04:32:15	2021-09-16 06:53:09
2021-09-27 06:22:13	2021-09-28 08:43:07
2021-10-06 01:09:27	2021-10-07 03:30:22
2021-10-08 05:51:16	2021-10-09 08:12:10
2021-10-18 02:59:25	2021-10-19 05:20:19
2021-10-30 04:49:23	2021-10-31 07:10:17
2021-11-07 23:36:37	2021-11-09 01:57:32
2022-02-18 02:00:51	2022-02-19 04:21:45

病毒名：Incaseformat蠕虫（Worm.VobfusEx!1.99DF）
样本MD5：6C7620EB4B79D683B1AB60DFC718B552
病毒类型：蠕虫病毒
传播途径：伪装成文件夹图标或U盘传播
影响平台：Win 2000、Win XP、Win2003、Vista、Win7 、Server 2003等

病毒行为分析：

捕获.PNG (117.22 K)

2021-1-15 10:00:06

捕获2.PNG (94.71 K)

2021-1-15 10:00:06

防范措施：

• 全网排查中毒机器，因为当前日期已经开始触发病毒的爆发时间，从今往后的每个月病毒都有几天会爆发删除数据，所以必须保证所有机器上的病毒被清除干净。请注意，病毒会向全盘中所有文件夹中释放病毒样本，所以必须全网全部终端统一进行查杀。
  

• 杀毒软件开启文件监控，以防止蠕虫病毒的感染，打开U盘防护，移动介质接入后先进行扫描再使用。
  

• 部署网络安全态势感知、预警系统等网关安全产品。网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助用户更快响应和处理。
  

• 瑞星捕获到该样本的多个变种，瑞星最早于2013年就已经针对该病毒做了通杀记录，对该家族变种样本进行通杀。瑞星全线产品都可以查杀该病毒，在主机层面、网络传播层面、虚拟化层面，都可以直接拦截。
  

数据恢复教程：

捕获.PNG (261.33 K)

2021-1-15 10:08:03

捕获2.PNG (136.98 K)

2021-1-15 10:08:03

捕获3.PNG (255.43 K)

2021-1-15 10:08:03

还好，只是普通删除，要是弄哪怕一丁点数据覆盖一下文件头，都将是无比惊人的事件:kaka5: