winlogon exe

今天，一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。病毒名称：incaseformat病毒性质：蠕虫病毒影响范围：多省市多行业发现感染案例，有规模爆发趋势危害等级：高危，可导致用户数据丢失病毒描述：经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa值:C:\windows\tsay.exe当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt->0x1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue->0x0最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：解决方案：由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，网络安全团队建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：1、  不要随意下载安装未知软件，尽量在官方网站进行下载安装；2、 尽量关闭不必要的共享，或设置共享目录为只读模式；用户可使用微隔离功能封堵共享端口；3、  严格规范U盘等移动介质的使用，使用前先进行查杀；4、  如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。5、升级杀毒软件，用专门的杀毒软件进行杀毒，防火墙升级等，提升电脑的防护性。若有安装ERP的数据库服务器，则一定要做好备份！数据库拷贝到移动硬盘！请大家务必重视！近日incaseformat蠕虫病毒在全国的爆发，引起了不少人的关注，计算机中招incaseformat蠕虫病毒后，除系统C盘以外其他文件会全部被删除，造成大量重要文档丢失，给用户造成不可挽回的损失。incaseformat蠕虫病毒遍历删除文件incaseformat蠕虫病毒在计算机终端运行后，会检测自身执行路径，复制到系统盘Windows目录下，修改相关的注册表项，最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件。图片incaseformat蠕虫病毒的传播incaseformat蠕虫病毒主要通过U盘传播，也可以通过文件共享传播。该病毒一旦控制一台计算机，就会将其当成宿主，不断自我复制从而感染其他计算机，使得中毒数量呈倍数增长！此外他还会伪装成其他文件，躲过安全软件的查杀。incaseformat蠕虫病毒具有定时删除文件的能力，一旦感染该病毒，它就像一个“定时炸弹”会定时发作，上一次发作是2021年1月13日，按照病毒作者设置的程序逻辑，该病毒下一次发作预计将在本月23日和2月4日。可以看到，incaseformat蠕虫病毒的传播性强，隐蔽性高且危害性大，企业需要重点防范！IP-guard安全防护建议针对incaseformat蠕虫病毒的防御，企业可以通过IP-guard排查和清理incaseformat蠕虫病毒，此外还可以应用IP-guard文档云备份提前备份保护终端数据文档。1、IP-guard排查及清理方案：（1）通过敏感内容识别，可有效排查出终端Windows目录下是否存在tsay.exe或ttry.exe文件，若存在该文件，及时删除它们，删除前勿重启计算机。（2）通过应用程序管控模块，可禁止病毒相关进程（如：ttry.exe）运行，及时阻止破坏行为。（3）通过终端安全检测，可监测注册表项（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsaC:\windows\tsay.exe），一旦发现异常，可进行报警、警告或阻断网络等措施，防止病毒蔓延。2、IP-guard预防方案：（1）通过终端安全检测，确保内网的计算机都安装杀毒软件，可要求杀毒软件必须更新到最新的病毒库，确保有效查杀病毒。（2）提高员工安全意识，通过移动存储管控功能，禁止外来移动存储设备随意接入内网，降低移动存储随意接入感染病毒的风险。（3）通过IP-guard文档操作管控功能，可限制共享文件夹的读写权限，仅允许用户访问自己权限范围内的共享文件，以防止病毒传播。（4）IP-guard可帮助企业建立软件中心，确保用户通过正规渠道下载软件，尽量避免因随意从互联网下载软件导致感染病毒。（5）为防止数据被破坏导致无法恢复的风险，我们建议通过IP-guard文档云备份功能对终端的重要文件进行统一备份，一旦终端数据被病毒破坏，可以通过文档云备份进行数据恢复。事实上早在数年前incaseformat蠕虫病毒就已经出现，此后每隔一段时间就会发作一次，企业用户需要及时排查和清除incaseformat蠕虫病毒，以及做好长期御防incaseformat蠕虫病毒的准备，防止其删除破坏重要文档，影响企业业务的正常运行。