关于预防网络病毒incaseformat的预警通报
近期出现新型网络病毒incaseformat,使用外部U盘等设备会导致病毒感染到电脑上,被感染电脑会出现自动删除C盘以外其他盘内的所有的文件现象,由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议广大用户做好防范:
一、若主机未出现感染现象(其他磁盘文件还未被删除)
1、不随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;
2、不随意下载安装未知软件,尽量在官方网站进行下载安装;
3、尽量关闭不必要的共享,或设置共享目录为只读模式;深信服安全团队提到深信服EDR用户可使直接用微隔离功能封堵共享端口;
4、严格规范U盘等移动介质的使用,使用前先进行查杀;
5、重要数据做好备份;
二、若主机已出现感染现象(其他磁盘文件已被删除)
1、如发现已感染主机,先断开网络使用安全软件进行全盘查杀,清除病毒残留。
2、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复。
三、建议措施
建议用户及时更新360安全卫士、深信服安全感知平台等安全软件到最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁。
同时,深信服为广大用户提供免费查杀工具,可下载如下工具,进行检测查杀:
64位系统下载链接:
http://edr.sangfor. com. cn/ tool/SfabAntiBot X64.7z
32位系统下载链接:
http://edr. sangfor. com. cn/ tool/SfabAntiBot _X86.7z
重要提示:该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,中招的一定不要重启!一定不要重启!一定不要重启!重启后数据会丢失。
关于MicrosoftDefender 远程代码执行漏洞的预警通报
近期我地区有关部门监测发现MicrosoftDefender远程代码执行漏洞,建议单位用户及时升级更新MicrosoftDefender版本。并做好资产自查以及预防工作,以免遭受黑客攻击。
一、漏洞描述
MicrosoftDefender是Windows的一款防病毒软件,具有病毒和威胁防护、账户保护,防火墙与网络保护,应用和浏览器控制等功能。由于MicrosoftDefender 在扫描文件的过程中存在内存损坏漏洞,所以攻击者可以通过构造恶意PE文件,并使存在漏洞的MicrosoftDefender扫描该恶意文件来执行任意代码。攻击者可以通过恶意网页,电子邮件附件或USB驱动器远程破坏易受攻击的系统。
该漏洞编号为CVE-2021-1647,漏洞等级:高危,漏洞评分:7. 8。
二、影响范围
大部分Windows操作系统
三、建议措施
应及时进行MicrosoftWindows 版本更新并且保持Windows自动更新开启。Windowsserver / Windows检测并开启Windows自动更新流程如下:
(一)点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
(二)点击控制面板页面中的“系统和安全”,进入设置。
(三)在弹出的新的界面中选择“windowsupdate" 中的“启用或禁用自动更新”。
(四)然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)