一个出现在十余年前,通过U盘和文件共享等“古老”方式传播的老病毒,竟在1月13日突然发作,并影响了大量电脑,导致用户数据丢失等严重后果。这不能不说是2021年开年以来网络安全行业最让人“大跌眼镜”的病毒发作事件。
这个老病毒就是奇安信CERT于1月13日监测到的格格病毒(incaseformat),该病毒在1月13日首次发作,表现为电脑中招后,除系统C盘以外其他文件全部被删除,已安装天擎用户不受任何影响。由于该病毒隐蔽性强,难以根除,奇安信强烈建议客户“应检尽检”,全面在终端上安装天擎等集中式安全管理软件,构筑无死角的防线。
潜伏十余年 今朝突发威 上半年还将发作19次
中国有句古话叫“君子报仇,十年不晚”,奇安信安全团队发现,这个病毒最早出现在2010年之前,是一个拥有十几年“高龄”的老病毒,一般没有安装杀毒软件的电脑才会中招。奇安信将其命名为“格格病毒”。
奇安信安全专家给了这个病毒一个形象的比喻,它类似于“定时炸弹”,而且是延时超过10年的定时炸弹,潜伏在未安装杀毒软件或误将该病毒添加至信任区的终端中,选择在特定的时间内突然发作,堪称病毒届的“耐心帝”。该病毒破坏性极大,中招的用户电脑一旦开机,除了系统盘之外,其他磁盘所有文件都会被删除,造成数据丢失等严重危害。
奇安信 CERT将该病毒风险评级为“高危”,风险等级定位“蓝色”(一般事件)。根据样本分析,奇安信发现,2021年1月13日之后,到了定时日期,存活病毒还会再次发作,最近的一次发作日期是 2021年1月23日,后续在2021年上半年还至少有以下发作日期:
揭开格格病毒“超长潜伏”和频繁发作之谜
格格病毒之所以在安全圈内掀起轩然大波,不仅仅是因为它的杀伤力大,最核心是因为该病毒比较异类, 尤其是“超长潜伏”和频繁发作可以说是前所未见。
为何该病毒十一年前就出现,近日才发作?经过反病毒专家分析,该病毒之所以超延迟发作,是因为程序中的一处bug所致。由于该程序在转换时间戳的过程中使用的DateTimeToTimeStamp 函数所依赖的MSecsPerDay变量值有误,导致获取的系统时间错误。2021年1月13日被程序错误的计算为2010年4月1日,首次触发设置的时间炸弹。
可以发现,使用程序的实际MSecsPerDay变量值计算出,后续还会触发时间炸弹:除了1月13日之外,未来还有2021年1月23日,2021年2月4日,2021年2月13日,2021年2月15日等。大概每月发作4次左右,仅2021年上半年,还将发作19次,频率非常密集。
反病毒专家还发现,该病毒U盘隐藏正常文件夹,并替换为同名样本母体,运行后拷贝副本至C:\windows\tsay.exe、C:\windows\ttry.exe,继而创建名为注册表启动项。感染病毒的电脑用户,重启后启动项中的母体文件运行,并删除系统盘以外盘符所有文件,然后释放大小为0kb的文件incaseformat.txt。
根据对该病毒的综合研判,奇安信将其归纳了四大特征:
一是传播性较强:主要通过U盘和网络共享等文件介质传播,没有网络传播性,没有利用漏洞进行横向移动的行为;
二是较难根除:由于具备蠕虫性的感染能力,一旦在局域网内出现,除非进行大规模无死角的全网杀毒,很难将病毒彻底根除;
三是潜伏性很强:对于未安装杀毒软件或误将该病毒加入信任区的终端,可以长期潜伏,直到指定日期发作;
四是破坏性非常强:一旦发作将会删除硬盘上的所有文件,造成不可逆的损失。
借鉴新冠防疫理念 奇安信发起“扫雷行动”呼吁用户应检尽检
人们在与新冠病毒的长期斗争中,积累了丰富的防治经验。同样,奇安信专家认为,格格病毒所具备的四个特征,和当前正在肆虐的新冠病毒,有诸多相似之处。因此,对于格格病毒的后续处置,可以充分借鉴新冠病毒的处理方式。
第一步是“戴好口罩”,从关口切断病毒感染的路径。具体在IT环境中,就是需要管理好U盘等移动存储介质和文件共享的使用,核心是提升终端用户的安全意识。
第二步是“注射疫苗”,加强自身免疫力才能不受感染。安装杀毒软件,更新病毒库,并清理杀毒软件的信任区,由于是老病毒,杀毒软件可以几乎100%地进行免疫。根据前期排查,“加入信任区”往往是杀毒软件没有有效清理掉这个病毒的原因。
第三步是“应检尽检”,这也是当前阻击新冠病毒最有效、最普遍的方式。奇安信建议广大客户,对于局域网内的机器,应该启动全网的快速扫描,对于没有安装企业级杀毒软件的单机使用专杀工具进行检测和查杀,确保发现局域网内隐蔽的病毒,防止它再继续感染其他的设备。
第四步是“及时救治”,对已感染电脑,最大程度挽回损失。对于不慎感染的终端,推荐用户使用奇安信天擎进行全盘查杀。尚未安装的奇安信天擎的用户,可以使用奇安信“格格病毒”(incaseformat)专杀工具,对系统进行全盘扫描,并清除病毒。清理完病毒之后尝试使用专业数据恢复工具或寻找第三方专业公司进行数据恢复。奇安信建议客户在明确的下一次发病日期之前,立即启动对全网的清理工作,将病毒清理干净,避免造成损失。
“该病毒和当下的新冠病毒类似,很容易藏某些不易发现的死角,紧靠单个个体的查杀很难根除,所以需要客户在终端上全面覆盖集中式安全管理软件,实现彻底根除。”奇安信安全专家表示。
1月14日,针对医疗等行业客户,奇安信推出了代号为“扫雷行动”的专项行动计划,其中包括为客户提供检测工具、提供3个月天擎使用授权、提供免费响应服务等等。目标是通过拉网式排查,本着应检尽检的原则,彻底根除该病毒的影响,避免1月23日及以后的病毒发作时间点,再有用户中招。
文章来源:移动安全网