僻静已久的Incaseformat蠕虫病毒沉燃，应急措置规划同步推出

首页 > 关于宝运莱官方网站 > 新闻动态 > 公司新闻

僻静已久的Incaseformat蠕虫病毒沉燃，应急措置规划同步推出

颁布功夫 2021-01-14

病毒沉点信息

病毒名称：incaseformat、Worm.Win32.Autorun

传布蹊径：移动介质

风险水平：非系统分区数据删除

触发前提：随电脑开机启动

威胁预测：2021年1月23日将会再次发作

措置规划：过程抑造、文件删除

威胁分析

该病毒最早的出现功夫约在2009年，由于病毒编码中功夫换算谬误，延后了10余年才触发后续行为，incaseformat 蠕虫病毒运行后，将会进行以下操作：

1、进行自复造（C:\windows\tsay.exe、C:\Windows\ttry.exe）

2、设置注册表自启动（HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa）

3、暗藏受�；さ奈募�

4、触发执行后续的文件删除作为

当苦衷项

1、暂停使用U盘等移动存储工具

2、不打开未知文件、不点击未知链接

3、威胁断根前不要沉启电脑

4、确保共享目录关关、主机防火墙开启

措置规划

● 未装置天珣EDR

1、排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2、排查并删除注册表“msfsa”项

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”

● 已装置天珣EDR

1、开启关键蹊径信息改观采集并增长威胁蹊径信息，持续监控预警

2、开启注册表信息改观采集并增长威胁蹊径监控信息，持续监控预警

3、增长过程黑名单，抑造病毒运行

4、推送响应剧本，全网断根病毒威胁

5、回溯威胁入口，为后续安全整改提供支持

宝运莱官方网站天珣终端高级威胁检测与响应系统（简称天珣EDR），发现、分析、措置安全威胁的同时提供美满的可视化回溯能力，协助治理人员定位威胁源头。

温馨提醒

可通过邮件或其他方式奉告所有人员执行一次宝运莱官方网站提供的“关于incaseformat断根剧本”后再关机或沉启电脑。

断根剧本获取方式：

1、直接联系对接商务、技术

2、拨打宝运莱官方网站热线电话：400-624-3900

宝运莱官方网站将持续关注此病毒后续动态并实时提供解决规划。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

关于宝运莱官方网站