僻静已久的Incaseformat蠕虫病毒沉燃，应急措置规划同步推出

首页 > 关于GA黄金甲 > 新闻动态 > 公司新闻

僻静已久的Incaseformat蠕虫病毒沉燃，应急措置规划同步推出

颁布功夫 2021-01-14

病毒沉点信息

病毒名称：incaseformat、Worm.Win32.Autorun

传布蹊径：移动介质

风险水平：非系统分区数据删除

触发前提：随电脑开机启动

威胁预测：2021年1月23日将会再次发作

措置规划：过程抑造、文件删除

威胁分析

该病毒最早的出现功夫约在2009年，由于病毒编码中功夫换算谬误，延后了10余年才触发后续行为，incaseformat 蠕虫病毒运行后，将会进行以下操作：

1、进行自复造（C:\windows\tsay.exe、C:\Windows\ttry.exe）

2、设置注册表自启动（HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa）

3、暗藏受�；さ奈募�

4、触发执行后续的文件删除作为

当苦衷项

1、暂停使用U盘等移动存储工具

2、不打开未知文件、不点击未知链接

3、威胁断根前不要沉启电脑

4、确保共享目录关关、主机防火墙开启

措置规划

● 未装置天珣EDR

1、排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2、排查并删除注册表“msfsa”项

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”

● 已装置天珣EDR

1、开启关键蹊径信息改观采集并增长威胁蹊径信息，持续监控预警

2、开启注册表信息改观采集并增长威胁蹊径监控信息，持续监控预警

3、增长过程黑名单，抑造病毒运行

4、推送响应剧本，全网断根病毒威胁

5、回溯威胁入口，为后续安全整改提供支持

GA黄金甲天珣终端高级威胁检测与响应系统（简称天珣EDR），发现、分析、措置安全威胁的同时提供美满的可视化回溯能力，协助治理人员定位威胁源头。

温馨提醒

可通过邮件或其他方式奉告所有人员执行一次GA黄金甲提供的“关于incaseformat断根剧本”后再关机或沉启电脑。

断根剧本获取方式：

1、直接联系对接商务、技术

2、拨打GA黄金甲热线电话：400-624-3900

GA黄金甲将持续关注此病毒后续动态并实时提供解决规划。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲