高危電腦病毒來襲，清空刪除C盤外文件，我們該如何面對與防范

　　1月13日，一款名為incaseformat的變種病毒在網(wǎng)絡(luò)上開始蔓延，該電腦病毒表現(xiàn)出來的直接癥狀為將電腦C盤外其余盤中的所有文件都會給徹底清空刪除，桌面上的文件圖標(biāo)變?yōu)闊o法打開的快捷方式。

　　根據(jù)數(shù)據(jù)恢復(fù)同行之間的交流可知，在1月13日一天之內(nèi)，全國范圍內(nèi)多地均有出現(xiàn)，且中招的數(shù)量非常龐大，每個做數(shù)據(jù)恢復(fù)的公司基本都會遇到幾十例以上。

　　經(jīng)過我們西安古誠數(shù)據(jù)恢復(fù)中心與其他專業(yè)人員對該病毒進行分析探究后，得出部分結(jié)論，現(xiàn)分享給大家：

　　病毒名稱：incaseformat.log

　　病毒屬性：蠕蟲病毒

　　危害等級：高危（嚴(yán)重影響用戶數(shù)據(jù)安全）

　　傳播范圍：全國各省多地均發(fā)現(xiàn)有中毒案例，范圍廣，爆發(fā)猛（一個電腦中招，關(guān)聯(lián)電腦均會中毒）

　　系統(tǒng)相關(guān)：根據(jù)目前可接觸到的大部分案例得知，中毒的電腦系統(tǒng)多為Win7系統(tǒng)，暫未發(fā)現(xiàn)Win10系統(tǒng)中毒，推測該病毒可能是通過Win7系統(tǒng)中的某個GHOST漏洞入侵

　　該病毒在通過系統(tǒng)漏洞入侵電腦系統(tǒng)后，并不會立即執(zhí)行刪除文件操作，首先是將自身復(fù)制到Windows目錄下，并自動創(chuàng)建RunOnce注冊表值，設(shè)置自動開機，且偽裝成系統(tǒng)文件：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa，

　　值為C:\windows\tsay.exe

　　然后，該病毒在Windows目錄下，開始執(zhí)行，將自身再次在注冊表中進行注冊HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1；

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0并隱藏自身屬性。

　　最終，該病毒開始刪除系統(tǒng)盤外的所有文件，在根目錄中留下incaseformat.log文件。

　　A、將重要資料多進行備份，拷貝到安全的移動硬盤或者U盤、云盤當(dāng)中，斷網(wǎng)保存；

　　B、不要下載來源不明的未知軟件，且關(guān)閉電腦共享模式，隔離共享端口，避免批量出現(xiàn)；

　　C、安裝殺毒軟件（經(jīng)測試江民殺毒軟件可有效防范，其余殺毒軟件在升級后應(yīng)該也可有效防范）；

　　D、可嘗試方案（暫未確定），將電腦系統(tǒng)升級為Windows10系統(tǒng)。

　　如果電腦已經(jīng)中毒，先判斷電腦里面是否有重要資料，如有重要資料，請立即斷電關(guān)機，不要進行任何再寫入操作，避免重要資料被新寫入文件覆蓋而無法恢復(fù)；如無重要資料，可安裝殺毒軟件進行殺毒后再進行操作；

　　根據(jù)西安古誠數(shù)據(jù)恢復(fù)中心與國內(nèi)頂尖數(shù)據(jù)恢復(fù)中心交流后，根據(jù)目前的情況以及病毒破壞數(shù)據(jù)的方式，得出結(jié)論為：

　　機械硬盤在中了incaseformat這款病毒丟失數(shù)據(jù)后，大部分都可以恢復(fù)出來；固態(tài)硬盤因其存儲結(jié)構(gòu)和原理的特殊性，在中incaseformat毒后丟失的內(nèi)容依目前的技術(shù)暫時無法恢復(fù)出來。

　　采用恢復(fù)軟件恢復(fù)情況：恢復(fù)方式為掃描式恢復(fù)，恢復(fù)文件完整度中等，恢復(fù)后的文件多為按類型分布，大都無法還原原來的目錄結(jié)構(gòu)，且有部分文件會無法正常打開使用；

　　專業(yè)恢復(fù)公司恢復(fù)情況：恢復(fù)方式為用專業(yè)設(shè)備提取底層數(shù)據(jù)，80%以上的均可還原原來的目錄結(jié)構(gòu)，恢復(fù)出來的文件完整度在95%以上，95%以上的文件均可正常打開使用；