incaseformat蠕蟲病毒來襲，磁盤文件被大規模刪除

2021年1月13日，一種名為incaseformat的蠕蟲病毒在國內爆發。該蠕蟲病毒執行后會自復制到系統盤Windows目錄下，并創建注冊表自啟動，刪除用戶除C盤以外的所有磁盤文件,危害極大。

一、病毒行為描述

設置開機自啟

此病毒啟動后將自身復制到C:\WINDOWS\tsay.exe并創建啟動項退出，等待重啟運行，下次開機啟動后約20s就開始刪除行為。

隱藏自身

當蠕蟲病毒在Windows目錄下執行時，會再次在同目錄下自復制，并修改如下注冊表項調整隱藏文件：

刪除文件

病毒文件通過DeleteFileA和RemoveDirectory代碼實現了刪除文件和目錄的行為。最終遍歷刪除系統盤外的所有文件，在根目錄留下名為 incaseformat 的文本文件。

二、解決方案

目前，已發現國內多個區域不同行業用戶遭到感染，病毒傳播范圍暫未見明顯的針對性。

中毒后如何處置：

1、主機排查

排查主機Windows目錄下是否存在圖標為文件夾的tsay.exe文件，若存在該文件，及時刪除即可，刪除前切勿對主機執行重啟操作。

2、數據恢復（建議專業團隊操作）

切勿對被刪除文件的分區執行寫操作，以免覆蓋原有數據，然后使用常見的數據恢復軟件（如：Finaldata、recuva、DiskGenius等）即可恢復被刪除數據。

3、病毒清理

由于病毒出現年份較早，主流殺毒軟件均可對該病毒進行查殺，用戶也可通過以下手工方式進行清理修復：

1) 通過任務管理器結束病毒相關進程（ttry.exe）

2) 刪除Windows目錄下駐留文件tsay.exe和ttry.exe及注冊表相關啟動項（RunOnce）

3) 恢復上述被病毒篡改的用于隱藏文件及擴展名的相關注冊表項

防護建議

1、不要隨意下載安裝未知軟件，盡量在官方網站進行下載安裝；

2、盡量關閉不必要的共享，或設置共享目錄為只讀模式；

3、嚴格規范U盤等移動介質的使用，使用前先進行查殺；

4、如發現已感染主機，先斷開網絡，使用安全產品進行全盤掃描查殺再嘗試使用數據恢復類軟件。

5、及時備份重要文件，且文件備份應與主機隔離， 重要資料的共享文件夾應設置訪問權限控制，并進行定期備份

三、數據安全建議

萬物互聯時代，企業數據作為企業的重要資產，在企業的經營、管理、決策方面起著重要作用，與此同時，數據的存儲安全也備受企業關注。企業上云，作為一種安全、便捷的企業信息儲存方式，以其成本低、接入快、更新快的優勢贏得企業認可。于用戶而言，面對病毒，公有云已成為一個安全避風港。

鑄造企業、鑄造人，上鑄造云！