2021年1月13日，威努特技術服務部接到大量服務過的企業用戶電話咨詢，咨詢內容主要是網絡上爆發的Incaseformat蠕蟲病毒是否會對企業工業控制系統有影響，已經安裝了主機衛士的工程師站、上位機是否能夠防御這類病毒。

　　1

　　病毒描述

　　威努特攻防專家團隊立即對這類病毒樣本進行分析，發現該病毒屬于蠕蟲病毒，由于被刪除文件分區根目錄下均存在名為incaseformat.log的空文件，因此網絡上才將此病毒命名為Incaseformat病毒。該蠕蟲病毒主要通過U盤等方式進行傳播，當其感染U盤后，U盤下的原文件夾將被隱藏，病毒會偽裝成原文件夾的圖標。

　　當用戶插入受感染U盤并點擊運行后該蠕蟲病毒會自動復制到系統盤Windows目錄下，并創建注冊表自啟動，而一旦用戶重啟主機，病毒會立即感染除C盤之外其他磁盤上的文件夾，并在指定時間段內刪除系統中C盤之外磁盤上的所有數據。

　　值得注意的是，這并不是一個新病毒，至少是個2014年的老病毒，殺毒軟件廠商均將此病毒命名為Worm.Win32.Autorun，通過名稱可以判斷該病毒是在Windows平臺下通過移動介質傳播的蠕蟲病毒。

　　該樣本作為一個老病毒，直到2021年1月13日才觸發刪除用戶文件，主要原因是該病毒所使用的delphi庫中的DateTimeToTimeStamp 函數中 IMSecsPerDay 變量的值錯誤，最終導致 DecodeDate 計算轉換出的系統當前時間錯誤。不僅如此，該病毒設定的刪除日期不止今天（1月13日），最近的下一次刪除時間為1月23日。

　　2

　　解決方案

　　經過威努特攻防專家組驗證，由于該病毒只有在Windows目錄下執行時會觸發刪除文件行為，而重啟是病毒在Windows目錄下啟動主要途徑，因此，已經安裝主機衛士的產品可以攔截Incaseformat蠕蟲病毒的執行，或通過強制訪問控制策略阻止其刪除行為，保障工業主機持續穩定運行。

　　圖 1 本地執行

　　圖 2 攔截日志

　　由于病毒本身只能通過U盤等移動介質進行傳播，并無相關網絡傳播特征，也可以利用主機衛士的移動介質管控功能對U盤的使用進行嚴格把控，防止因非法濫用導致的病毒引入。

　　圖 3 外設控制

　　圖 4 外設管控日志

　　3

　　病毒排查

　　第一步：

　　排查工業控制系統內Windows目錄下是否存在圖標為文件夾的tsay.exe和ttry.exe文件，若存在這兩個文件，及時刪除即可，刪除前切勿對主機執行重啟操作。

　　第二步：

　　排查工業控制系統Windows的任務管理器是否有tsay.exe或ttry.exe進程，如果有，則可手動關閉。

　　第三步：

　　排查工業控制系統Windows目錄下是否有駐留的文件tsay.exe和ttry.exe及注冊表相關啟動項（RunOnce）。

　　注：已經安裝工控主機衛士的企業用戶，建議核查相關策略是否正常開啟。

　　4

　　安全建議

　　工業控制系統大部分應用于國家關鍵信息基礎設施領域，而工業控制系統內關鍵工程師站、上位機、數據庫中所存儲的數據更是對工業控制系統有著重要的價值，一旦被刪除，將會導致生產停滯，甚至在各別工業場景中會導致生產安全事故，所以工業企業要尤為重視對于工業主機的安全防護。

　　威努特工控主機衛士通過“四重鎖定，七大核心功能”構建工業主機安全計算環境。

　　◇ 應用鎖定

　　采用“白名單”防護機制，鎖定工業主機上應用程序的運行，阻止任何白名單外的程序運行，避免惡意代碼、非法程序的運行，最大限度保障工程師站、操作員站以及服務器等重要設備安全穩定運行。

　　◇ 系統鎖定

　　通過安全基線管理和強制訪問控制功能，鎖定工業主機運行環境和資源，確保工業主機上的設置符合安全基線策略要求，并按照設定的主客體制定讀寫訪問控制策略進行訪問。

　　◇ 網絡鎖定

　　鎖定工業主機的網絡訪問環境，只允許工業主機和特定的服務器之間進行通信，控制惡意代碼的在網絡內部的傳播、擴散。

　　◇ 外設鎖定

　　鎖定外接輸入設備的使用，只有經過認證的安全可信的USB設備才可以在工業主機上運行，防止通過U盤等外接輸入設備引入惡意程序導致感染病毒和泄露敏感數據。