本次大规模爆发的incaseformat病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。该病毒集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能。此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装杀毒软件。很可能该病毒已经在用户电脑中潜伏多年。经过对病毒样本分析,下次触发删除文件行为的时间约为2021年1月23日和2月4日。请部门及时组织做好防范。
一、病毒描述
该蠕虫病毒运行后会检测自身执行路径,如在windows
目录下则会将其他磁盘的文件进行遍历删除,并留下一个名为incaseformat.log的空文件:若当前执行路径不在windows目录,则自复制在系统盘的windows目录下,并创建RunOnce注册表值设置开机自启:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
二、防范措施
(一)对于未出现感染现象的终端
1、勿随意重启主机,先使用360、“火绒”等杀毒软件全盘查杀,并开启病毒防护。
2、提高安全意识,不随意下载安装未知软件,不随意信任、运行未知软件;严格规范U盘等移动介质的使用,使用前先进行查杀。
3、做好重要数据备份。
(二)若已出现感染删除文件现象:
1、使用360、火绒等杀毒软件查杀,清除病毒。
2、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复。
