安全社区

1月13日，一种在名为Incaseformat蠕虫病毒在医疗、政府等各行业的个人电脑上感染。被感染机器除系统盘以外的文件均被删除，仅留下名为incaseformat.txt的空文件。

建议各用户做好U盘接入防护以及各主机系统Incaseformat蠕虫病毒的查杀工作。

【病毒描述】

Incaseformat蠕虫病毒主要通过U盘等移动介质传播，如果用户没有安全防护软件或者曾经对该病毒所在的目录设置了信任，则有可能在感染系统上已存在多年。该蠕虫病毒伪装为文件夹图标，隐藏原始文件夹，并修改注册表使系统不显示文件扩展名。首次执行时并不直接删除文件但会复制到系统分区的C:Windows say.exe，创建RunOnce注册表值开机自启。注册表位置：  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

该病毒自启动之后会删除电脑中除系统盘外的其他分区的所有文件，并在被删除的磁盘下创建一个incaseformat.txt空文件。

病毒设定下一次删除时间可能为1月23日，如果不彻底查杀病毒，存在被二次删除文件的风险。

【处置方案】

1．病毒查杀

检查各主机系统盘Windows目录下是否有ttry.exe、tsay.exe文件，若发现可用安全软件进行查杀。亦可通过手动清除系统盘Windows目录下的病毒文件，清除注册表的相关启动项。

2．数据恢复

可用数据恢复软件尝试恢复被删除的数据。在未恢复数据时，不要对磁盘分区进行写操作。

【防范建议】

1．为各系统安装防病毒软件，更新病毒库到最新版本，定期执行病毒查杀任务。

2．从官网及正规的渠道获取应用程序，不建议使用破解、盗版等安全性未知的软件。

3．严格控制U盘等移动介质的使用，移动介质应在全盘查杀后再接入使用，确保无恶意程序存在。

4．黑盾主机防护系统能够准确识别出系统自身风险和入侵威胁事件，提供对病毒木马、僵尸蠕虫、反弹shell等入侵行为进行全面安全防护，为单位提供强有力的采集、检测、监测、防御、捕获能力，对主机进行全方位的安全防护。