突发!!Incaseformat蠕虫病毒爆发 工业企业用户无需慌张
2021-01-14
来源: 威努特工控安全
2021年1月13日,威努特技术服务部接到大量服务过的企业用户电话咨询,咨询内容主要是网络上爆发的Incaseformat蠕虫病毒是否会对企业工业控制系统有影响,已经安装了主机卫士的工程师站、上位机是否能够防御这类病毒。
1
病毒描述
威努特攻防专家团队立即对这类病毒样本进行分析,发现该病毒属于蠕虫病毒,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上才将此病毒命名为Incaseformat病毒。该蠕虫病毒主要通过U盘等方式进行传播,当其感染U盘后,U盘下的原文件夹将被隐藏,病毒会伪装成原文件夹的图标。
当用户插入受感染U盘并点击运行后该蠕虫病毒会自动复制到系统盘Windows目录下,并创建注册表自启动,而一旦用户重启主机,病毒会立即感染除C盘之外其他磁盘上的文件夹,并在指定时间段内删除系统中C盘之外磁盘上的所有数据。
值得注意的是,这并不是一个新病毒,至少是个2014年的老病毒,杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun,通过名称可以判断该病毒是在Windows平台下通过移动介质传播的蠕虫病毒。
该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件,主要原因是该病毒所使用的delphi库中的DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。不仅如此,该病毒设定的删除日期不止今天(1月13日),最近的下一次删除时间为1月23日。
2
解决方案
经过威努特攻防专家组验证,由于该病毒只有在Windows目录下执行时会触发删除文件行为,而重启是病毒在Windows目录下启动主要途径,因此,已经安装主机卫士的产品可以拦截Incaseformat蠕虫病毒的执行,或通过强制访问控制策略阻止其删除行为,保障工业主机持续稳定运行。
图 1 本地执行
图 2 拦截日志
由于病毒本身只能通过U盘等移动介质进行传播,并无相关网络传播特征,也可以利用主机卫士的移动介质管控功能对U盘的使用进行严格把控,防止因非法滥用导致的病毒引入。
图 3 外设控制
图 4 外设管控日志
3
病毒排查
第一步:
排查工业控制系统内Windows目录下是否存在图标为文件夹的tsay.exe和ttry.exe文件,若存在这两个文件,及时删除即可,删除前切勿对主机执行重启操作。
第二步:
排查工业控制系统Windows的任务管理器是否有tsay.exe或ttry.exe进程,如果有,则可手动关闭。
第三步:
排查工业控制系统Windows目录下是否有驻留的文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)。
注:已经安装工控主机卫士的企业用户,建议核查相关策略是否正常开启。
4
安全建议
工业控制系统大部分应用于国家关键信息基础设施领域,而工业控制系统内关键工程师站、上位机、数据库中所存储的数据更是对工业控制系统有着重要的价值,一旦被删除,将会导致生产停滞,甚至在各别工业场景中会导致生产安全事故,所以工业企业要尤为重视对于工业主机的安全防护。
威努特工控主机卫士通过“四重锁定,七大核心功能”构建工业主机安全计算环境。
◇ 应用锁定
采用“白名单”防护机制,锁定工业主机上应用程序的运行,阻止任何白名单外的程序运行,避免恶意代码、非法程序的运行,最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。
◇ 系统锁定
通过安全基线管理和强制访问控制功能,锁定工业主机运行环境和资源,确保工业主机上的设置符合安全基线策略要求,并按照设定的主客体制定读写访问控制策略进行访问。
◇ 网络锁定
锁定工业主机的网络访问环境,只允许工业主机和特定的服务器之间进行通信,控制恶意代码的在网络内部的传播、扩散。
◇ 外设锁定
锁定外接输入设备的使用,只有经过认证的安全可信的USB设备才可以在工业主机上运行,防止通过U盘等外接输入设备引入恶意程序导致感染病毒和泄露敏感数据。