incaseformat病毒处置

0X00 事件概况
    昨天下午被incaseformat这个老病毒刷了一波存在感,C盘以外的盘符文件均被删除,仅保留了一个名为“incaseformat.log”的空文件。
0X01 样本分析
    样本由Delphi进行编写,基本情况如下:

文件名

tsay.exe

文件大小

460,288 KB

文件MD5

1071d6d497a10cef44db396c07ccde65

 

文件SHA1

71aa3a0af1eda821a1deddf616841c14c3bbd2e3

文件SHA256

c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929

文件CRC

07f3732f

文件类型

exe

    样本确实是一个老样本,在VT上可以查到的提交历史可以追溯到2013-03-19。
         一个老病毒,现在才发作的主要原因是本来样本是通过判断获取的时间,如果年份大于0x7d9(2009),月份大于3,日期为1,10,21,29,则触发相关的操作。
       但是程序在转换时间的过程中使用DateTimeToTimeStamp 函数,这个函数所依赖的MSecsPerDay变量值有误,导致获取的系统时间错误。2021113日被程序错误的计算为201041日,首次触发设置的时间炸弹。

        样本的恶意行为也比较简单:
     1.复制自己
    2.设置相关的隐藏属性及启动项
设置注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\  键值msfsa 值为C:\\windows\\tsay.exe
    3.遍历除了C盘以外的盘符,删除磁盘上的文件
        之后生成一个0kb的incaseformat.log文件
0X02 现象排查
        病毒样本相对比较简单,从以下几个方面可以简单排查是否中毒。
        1.磁盘被清空,磁盘内存在incaseformat.log文件。
       
        2.进程中存在ttry.exe进程。
           3.C盘windows目录下存在ttry.exe和tsay.exe程序。
        4. 注册中的启动项中存在键值为msfsa的启动项。
 
0X03 病毒处置
1.结束ttry.exe进程。
 
2.删除相关的样本文件。
 

    C:\\windows\\tsay.exe

    C:\windows\ttry.exe

 

3.删除相关的注册表启动项。

注册表位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

 

4.尝试进行数据恢复。

        由于病毒程序对磁盘进行了删除操作,在不重启的条件下,恢复的概率要大一些,恢复的内容要多一些,所以在中毒后,不要重启或关机。可以使用R-Studio、DiskGenius、PuranFileRecovery等数据恢复软件恢复大部分文件。下图是实验的结果,不重启的情况下,可以恢复大部分文件,一定概率可以完全恢复。

 

 
0X04 病毒防护措施
 

1. 提高安全意识,使用U盘前用杀毒软件进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。

2. 安装杀软并进行更新(病毒较老,一般杀软都能进行查杀)。

 

 

0X05 IOC

 

 

目前收集的病毒文件Md5值

4b982fe1558576b420589faa9d55e81a

1071d6d497a10cef44db396c07ccde65

915178156c8caa25b548484c97dd19c1

97569a91067bcec8539592dc0cbd0bc0

3faaf23746fdfd611ee5c9637f827880

722e62305ad58e326a932b24359fdc0e

99139acb7ce08c0a909298c9384481e7

b3a82d7dc378b4c4826985b29fd7bd81

451e01299c11d63c07d5dc1b766a15e8

01838e9dde5804dcb082568c7187de93

1eb13495bc898625fa933037678ba109

dc4b6ce35dad889d81fc90999245052f

f7ab80e1f34a9b404b2493afe481f15d

4510511224001df92441d963ed155568

413799fb41ce1ca31ec694a77090e3cb

82fdde48b6947bc40034f72222d0a458

0846f9a43c5ee0df29b6ff9a2f212e7f

fb926306e22f66b02832a64023ed658c

f5ae828a59481eba69ff61aba341ebb1

683accc8be875f6ab8289ea1d86038c1

77cb0524cd4c9f84603edbf84511ad48

53485bc9bd363831f4d92ed628520746

35cdf9a8c8b8a1c50cb3d571160ad267

647ad17021eb5670678e0f34823137b8

a55b25e6439d07cc8f12c4a3215eedc8

044a13bbb2d6d42ee542a5b78ac43012

f46d1436d98c456be1bdf7fd0ea3949f

posted @ 2021-01-14 14:22  安全研究者的日常  阅读(1280)  评论(0编辑  收藏  举报