2021年1月13日，威努特技術(shù)服務(wù)部接到大量服務(wù)過的企業(yè)用戶電話咨詢，咨詢內(nèi)容主要是網(wǎng)絡(luò)上爆發(fā)的Incaseformat蠕蟲病毒是否會對企業(yè)工業(yè)控制系統(tǒng)有影響，已經(jīng)安裝了主機(jī)衛(wèi)士的工程師站、上位機(jī)是否能夠防御這類病毒。

　　1

　　病毒描述

　　威努特攻防專家團(tuán)隊(duì)立即對這類病毒樣本進(jìn)行分析，發(fā)現(xiàn)該病毒屬于蠕蟲病毒，由于被刪除文件分區(qū)根目錄下均存在名為incaseformat.log的空文件，因此網(wǎng)絡(luò)上才將此病毒命名為Incaseformat病毒。該蠕蟲病毒主要通過U盤等方式進(jìn)行傳播，當(dāng)其感染U盤后，U盤下的原文件夾將被隱藏，病毒會偽裝成原文件夾的圖標(biāo)。

　　當(dāng)用戶插入受感染U盤并點(diǎn)擊運(yùn)行后該蠕蟲病毒會自動(dòng)復(fù)制到系統(tǒng)盤Windows目錄下，并創(chuàng)建注冊表自啟動(dòng)，而一旦用戶重啟主機(jī)，病毒會立即感染除C盤之外其他磁盤上的文件夾，并在指定時(shí)間段內(nèi)刪除系統(tǒng)中C盤之外磁盤上的所有數(shù)據(jù)。

　　值得注意的是，這并不是一個(gè)新病毒，至少是個(gè)2014年的老病毒，殺毒軟件廠商均將此病毒命名為Worm.Win32.Autorun，通過名稱可以判斷該病毒是在Windows平臺下通過移動(dòng)介質(zhì)傳播的蠕蟲病毒。

　　該樣本作為一個(gè)老病毒，直到2021年1月13日才觸發(fā)刪除用戶文件，主要原因是該病毒所使用的delphi庫中的DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯(cuò)誤，最終導(dǎo)致 DecodeDate 計(jì)算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時(shí)間錯(cuò)誤。不僅如此，該病毒設(shè)定的刪除日期不止今天（1月13日），最近的下一次刪除時(shí)間為1月23日。

　　2

　　解決方案

　　經(jīng)過威努特攻防專家組驗(yàn)證，由于該病毒只有在Windows目錄下執(zhí)行時(shí)會觸發(fā)刪除文件行為，而重啟是病毒在Windows目錄下啟動(dòng)主要途徑，因此，已經(jīng)安裝主機(jī)衛(wèi)士的產(chǎn)品可以攔截Incaseformat蠕蟲病毒的執(zhí)行，或通過強(qiáng)制訪問控制策略阻止其刪除行為，保障工業(yè)主機(jī)持續(xù)穩(wěn)定運(yùn)行。

　　圖 1 本地執(zhí)行

　　圖 2 攔截日志

　　由于病毒本身只能通過U盤等移動(dòng)介質(zhì)進(jìn)行傳播，并無相關(guān)網(wǎng)絡(luò)傳播特征，也可以利用主機(jī)衛(wèi)士的移動(dòng)介質(zhì)管控功能對U盤的使用進(jìn)行嚴(yán)格把控，防止因非法濫用導(dǎo)致的病毒引入。

　　圖 3 外設(shè)控制

　　圖 4 外設(shè)管控日志

　　3

　　病毒排查

　　第一步：

　　排查工業(yè)控制系統(tǒng)內(nèi)Windows目錄下是否存在圖標(biāo)為文件夾的tsay.exe和ttry.exe文件，若存在這兩個(gè)文件，及時(shí)刪除即可，刪除前切勿對主機(jī)執(zhí)行重啟操作。

　　第二步：

　　排查工業(yè)控制系統(tǒng)Windows的任務(wù)管理器是否有tsay.exe或ttry.exe進(jìn)程，如果有，則可手動(dòng)關(guān)閉。

　　第三步：

　　排查工業(yè)控制系統(tǒng)Windows目錄下是否有駐留的文件tsay.exe和ttry.exe及注冊表相關(guān)啟動(dòng)項(xiàng)（RunOnce）。

　　注：已經(jīng)安裝工控主機(jī)衛(wèi)士的企業(yè)用戶，建議核查相關(guān)策略是否正常開啟。

　　4

　　安全建議

　　工業(yè)控制系統(tǒng)大部分應(yīng)用于國家關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，而工業(yè)控制系統(tǒng)內(nèi)關(guān)鍵工程師站、上位機(jī)、數(shù)據(jù)庫中所存儲的數(shù)據(jù)更是對工業(yè)控制系統(tǒng)有著重要的價(jià)值，一旦被刪除，將會導(dǎo)致生產(chǎn)停滯，甚至在各別工業(yè)場景中會導(dǎo)致生產(chǎn)安全事故，所以工業(yè)企業(yè)要尤為重視對于工業(yè)主機(jī)的安全防護(hù)。

　　威努特工控主機(jī)衛(wèi)士通過“四重鎖定，七大核心功能”構(gòu)建工業(yè)主機(jī)安全計(jì)算環(huán)境。

　　◇ 應(yīng)用鎖定

　　采用“白名單”防護(hù)機(jī)制，鎖定工業(yè)主機(jī)上應(yīng)用程序的運(yùn)行，阻止任何白名單外的程序運(yùn)行，避免惡意代碼、非法程序的運(yùn)行，最大限度保障工程師站、操作員站以及服務(wù)器等重要設(shè)備安全穩(wěn)定運(yùn)行。

　　◇ 系統(tǒng)鎖定

　　通過安全基線管理和強(qiáng)制訪問控制功能，鎖定工業(yè)主機(jī)運(yùn)行環(huán)境和資源，確保工業(yè)主機(jī)上的設(shè)置符合安全基線策略要求，并按照設(shè)定的主客體制定讀寫訪問控制策略進(jìn)行訪問。

　　◇ 網(wǎng)絡(luò)鎖定

　　鎖定工業(yè)主機(jī)的網(wǎng)絡(luò)訪問環(huán)境，只允許工業(yè)主機(jī)和特定的服務(wù)器之間進(jìn)行通信，控制惡意代碼的在網(wǎng)絡(luò)內(nèi)部的傳播、擴(kuò)散。

　　◇ 外設(shè)鎖定

　　鎖定外接輸入設(shè)備的使用，只有經(jīng)過認(rèn)證的安全可信的USB設(shè)備才可以在工業(yè)主機(jī)上運(yùn)行，防止通過U盤等外接輸入設(shè)備引入惡意程序?qū)е赂腥静《竞托孤睹舾袛?shù)據(jù)。