查看原文
其他

突发!!Incaseformat蠕虫病毒爆发 工业企业用户无需慌张

技术服务部 威努特工控安全 2022-04-23




2021年1月13日,威努特技术服务部接到大量服务过的企业用户电话咨询,咨询内容主要是网络上爆发的Incaseformat蠕虫病毒是否会对企业工业控制系统有影响,已经安装了主机卫士的工程师站、上位机是否能够防御这类病毒。


1


病毒描述


威努特攻防专家团队立即对这类病毒样本进行分析,发现该病毒属于蠕虫病毒,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上才将此病毒命名为Incaseformat病毒。该蠕虫病毒主要通过U盘等方式进行传播,当其感染U盘后,U盘下的原文件夹将被隐藏,病毒会伪装成原文件夹的图标。


当用户插入受感染U盘并点击运行后该蠕虫病毒会自动复制到系统盘Windows目录下,并创建注册表自启动,而一旦用户重启主机,病毒会立即感染除C盘之外其他磁盘上的文件夹,并在指定时间段内删除系统中C盘之外磁盘上的所有数据。


值得注意的是,这并不是一个新病毒,至少是个2014年的老病毒,杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun,通过名称可以判断该病毒是在Windows平台下通过移动介质传播的蠕虫病毒。


该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件,主要原因是该病毒所使用的delphi库中的DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。不仅如此,该病毒设定的删除日期不止今天(1月13日),最近的下一次删除时间为1月23日。


2


解决方案


经过威努特攻防专家组验证,由于该病毒只有在Windows目录下执行时会触发删除文件行为,而重启是病毒在Windows目录下启动主要途径,因此,已经安装主机卫士的产品可以拦截Incaseformat蠕虫病毒的执行,或通过强制访问控制策略阻止其删除行为,保障工业主机持续稳定运行。

图 1 本地执行

图 2 拦截日志

由于病毒本身只能通过U盘等移动介质进行传播,并无相关网络传播特征,也可以利用主机卫士的移动介质管控功能对U盘的使用进行严格把控,防止因非法滥用导致的病毒引入。

图 3 外设控制

图 4 外设管控日志


3


病毒排查


第一步:
排查工业控制系统内Windows目录下是否存在图标为文件夹的tsay.exe和ttry.exe文件,若存在这两个文件,及时删除即可,删除前切勿对主机执行重启操作。

第二步:
排查工业控制系统Windows的任务管理器是否有tsay.exe或ttry.exe进程,如果有,则可手动关闭。

第三步:
排查工业控制系统Windows目录下是否有驻留的文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)。

注:已经安装工控主机卫士的企业用户,建议核查相关策略是否正常开启。


4


安全建议


工业控制系统大部分应用于国家关键信息基础设施领域,而工业控制系统内关键工程师站、上位机、数据库中所存储的数据更是对工业控制系统有着重要的价值,一旦被删除,将会导致生产停滞,甚至在各别工业场景中会导致生产安全事故,所以工业企业要尤为重视对于工业主机的安全防护。

威努特工控主机卫士通过“四重锁定,七大核心功能”构建工业主机安全计算环境。



◇ 应用锁定
采用“白名单”防护机制,锁定工业主机上应用程序的运行,阻止任何白名单外的程序运行,避免恶意代码、非法程序的运行,最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。

◇ 系统锁定
通过安全基线管理和强制访问控制功能,锁定工业主机运行环境和资源,确保工业主机上的设置符合安全基线策略要求,并按照设定的主客体制定读写访问控制策略进行访问。

◇ 网络锁定
锁定工业主机的网络访问环境,只允许工业主机和特定的服务器之间进行通信,控制恶意代码的在网络内部的传播、扩散。

◇ 外设锁定
锁定外接输入设备的使用,只有经过认证的安全可信的USB设备才可以在工业主机上运行,防止通过U盘等外接输入设备引入恶意程序导致感染病毒和泄露敏感数据。




咨询与服务
您可以通过以下方式联系我们,获取关于 Incaseformat的免费咨询及支持服务:
1)  服务热线:4000-680-620
2) 技术服务热线:陆先生 13810502235
3)  关注【威努特】公众号,留言咨询


威努特简介

北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了5大类30款全系列网络安全专用产品,拥有64项发明专利、64项软件著作权、70项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、全国两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!


渠道合作:张先生 18201311186
市场合作:微信 shushu12121

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存