近日，大量PC端的Windows系統(tǒng)用戶因感染了名為IncaseFormat的古老蠕蟲病毒，除系統(tǒng)盤外的文件全部被刪除。通過研究和分析，確認(rèn)IncaseFormat蠕蟲病毒主要通過U盤等介質(zhì)傳播，本次事件是其潛伏期結(jié)束后定時觸發(fā)的刪除文件行為。PC端用戶遭遇了IncaseFormat的襲擊，“云上”用戶能否逃過一劫?

傳播靠U盤，云上更安全

通過對該病毒家族樣本進(jìn)行分析，可以確定病毒的主要傳播途徑為U盤等移動存儲介質(zhì)傳播，而在云端并不具備傳染介質(zhì)和途徑，因此云上主機(jī)不受該傳播途徑影響，云上安全更勝一籌!

專屬云、混合云的主機(jī)用戶也不用慌，華為云已將該家族樣本添加至規(guī)則庫中，可針對IncaseFormat蠕蟲病毒進(jìn)行精準(zhǔn)防御，用戶只需配置華為云企業(yè)主機(jī)安全(企業(yè)版)并開啟防護(hù)，即可有效識別和一鍵隔離查殺病毒。

既要主機(jī)安全，也要數(shù)據(jù)安全

被IncaseFormat蠕蟲病毒感染的用戶，除系統(tǒng)盤外的文件全部被刪除。僥幸的是，用戶可使用常見的數(shù)據(jù)恢復(fù)軟件恢復(fù)被刪除數(shù)據(jù)。

但安全不應(yīng)只是僥幸!華為云企業(yè)主機(jī)安全兼具防篡改功能，可實(shí)時發(fā)現(xiàn)并攔截篡改指定目錄下文件的行為，保護(hù)指定文件不被刪除，防范于未然。

病毒仍在潛伏期，安全防護(hù)要加急

樣本分析顯示該病毒仍然在潛伏期內(nèi)，以后每個月都會爆發(fā)，預(yù)計(jì)下次刪除文件的功能代碼啟動時間為2021年1月23日，華為云安全團(tuán)隊(duì)建議廣大用戶及時做好以下安全防護(hù)工作：

1、做好排查工作。如果主機(jī)存在如下的進(jìn)程和文件(文件圖標(biāo)為文件夾圖標(biāo))則表示該主機(jī)已被感染。

進(jìn)程：tsay.exe;ttry.exe

文件：C:\windows\tsay.exe;C:\Windows\ttry.exe

使用“regedit”命令打開注冊表，通過“Ctrl+F”命令打開搜索框，分別搜索 “tsay.exe”和“ttry.exe”，將搜索到的所有包含該字符串的注冊表鍵全部刪除。

可疑移動設(shè)備接入Linux系統(tǒng)，查看根目錄是否存在tsay.exe、ttry.exe、autorun.inf文件，發(fā)現(xiàn)后刪除。

2、安裝有效安全軟件

雖然IncaseFormat蠕蟲病毒在云上不具備傳播能力，但存在可能的惡意樣本復(fù)制、共享等傳播途徑，云上用戶不可完全松懈。

華為云企業(yè)主機(jī)安全服務(wù)(HSS)助您構(gòu)建服務(wù)器安全體系。HSS云端防護(hù)中心集成多種殺毒引擎，深度查殺主機(jī)中的惡意程序，也可檢測出主機(jī)中未知的惡意程序和病毒變種。啟動防護(hù)后，您的主機(jī)將受到HSS云端防護(hù)中心全方位的安全保障。

了解更多華為云企業(yè)主機(jī)安全服務(wù)，請登錄華為云官網(wǎng)

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）