2021年1月13日,大量PC端的Windows系统用户因感染了名为IncaseFormat的古老蠕虫病毒,除系统盘外的文件全部被删掉。通过研究和剖析linux 防病毒软件,确认IncaseFormat蠕虫病毒主要通过U盘等介质传播,本次风波是其潜伏期结束后定时触发的删掉文件行为。PC端用户遭到了IncaseFormat的袭击,"云上"用户能够躲过一劫?
传播靠U盘,云上更安全
通过对该病毒家族样本进行剖析,可以确定病毒的主要传播途径为U盘等联通储存介质传播,而在云端并不具备传染介质和途径,因而云上主机不受该传播途径影响,云上安全更胜一筹!
专属云、混合云的主机用户也不用慌linux 防病毒软件linux windows小型linux系统,华为云已将该家族样本添加至规则库中,可针对IncaseFormat蠕虫病毒进行精准防御,用户只需配置华为云企业主机安全(企业版)并开启防护,即可有效辨识和一键隔离查杀病毒。
既要主机安全,也要数据安全
被IncaseFormat蠕虫病毒感染的用户,除系统盘外的文件全部被删掉。侥幸的是,用户可使用常见的数据恢复软件恢复被删掉数据。
但安全不应只是侥幸!华为云企业主机安全兼顾防篡改功能,可实时发觉并拦截篡改指定目录下文件的行为,保护指定文件不被删掉,防范于未然。
病毒仍在潜伏期,安全防护要加急
样本剖析显示该病毒一直在潜伏期内,之后每位月就会爆发,预计上次删掉文件的功能代码启动时间为2021年1月23日,华为云安全团队建议广大用户及时做好以下安全防护工作:
1、做好排查工作。假如主机存在如下的进程和文件(文件图标为文件夹图标)则表示该主机已被感染。
进程:tsay.exe;ttry.exe
文件:C:windowstsay.exe;C:Windowsttry.exe
使用"regedit"命令打开注册表,通过"Ctrl+F"命令打开搜索框,分别搜索"tsay.exe"和"ttry.exe",将搜索到的所有包含该字符串的注册表键全部删掉。
可疑联通设备接入Linux系统,查看根目录是否存在tsay.exe、ttry.exe、autorun.inf文件,发觉后删掉。
2、安装有效安全软件
尽管IncaseFormat蠕虫病毒在云上不具备传播能力,但存在可能的恶意样本复制、共享等传播途径,云上用户不可完全懈怠。
华为云企业主机安全服务(HSS)助您建立服务器安全体系。HSS云端防护中心集成多种杀毒引擎,深度查杀主机中的恶意程序,也可检查出主机中未知的恶意程序和病毒变种。启动防护后,您的主机将遭到HSS云端防护中心全方位的安全保障。