突发！incaseformat蠕虫病毒来袭，警惕文件遭删除

首页 map[addtime:<nil> column:0 data:{"status":0,"msg":"","data":{"data":{"banner":[{"image":"/assets/upload/2024/10/09/8321b9b943cd4f57fe891334012bebb1.png","t1":"感恩有你，未来可期","t2":"","t3":"/p/2802"}],"name1":"新闻资讯"}}} data2:<nil> description:16年IT服务经验-全国服务电话:400-017-5181 featured: id:1 illustrate:新闻资讯 keywords:同创双子公司新闻, 同创双子,同创双子怎么样,同创双子公司,成都同创双子,北京同创双子,同创双子最新新闻 name:新闻资讯 orders:1 state:true tag:<nil> templateslist:{ "controls": [ { "name": "data.name1", "label": "简单标题", "type": "input-text" }, { "type": "combo", "name": "data.banner", "label": "轮播", "multiple": true, "draggable": true, "items": [ { "name": "t1", "label": "标题", "type": "input-text" }, { "name": "t2", "label": "时间", "type": "input-text" }, { "name": "t3", "label": "连接", "type": "input-text" }, { "type": "input-image", "name": "image", "label": "配图", "receiver": "./api/upload?rich=2" } ] } ] } templatespage:{ "controls": [ { "label": "推荐等级", "type": "select", "name": "featured", "options": [ { "label": "不推荐", "value": 0 }, { "label": "首页推荐", "value": 1001 } ] }, { "type": "group", "body": [ { "name": "data.listimg", "label": "列表图片", "receiver": "./api/upload?rich=2", "type": "input-image" }, { "name": "data.img", "label": "首页图片", "receiver": "./api/upload?rich=2", "type": "input-image" } ] }, { "type": "input-rich-text", "name": "data.body", "label": "文章内容1", "receiver": "post:./api/upload?rich=1" } ] } title:新闻资讯-同创双子（北京）信息技术股份有限公司 tmpllist:list tmplpage:page url:news] > 新闻资讯 map[addtime:<nil> column:1 data:{"status":0,"msg":"","data":{"data":{"banner":[{"image":"/assets/upload/2023/12/13/3e1643bd17c60956f27ddf735eb3048d.png","t1":"桌面运维是什么？外包好还是自招好","t3":"https://www.itgemini.net/p/2613"},{"image":"/assets/upload/2023/12/13/d52a5f367538356cbcbfbbf727a5e0a7.png","t1":"什么是系统集成？同创双子可以做哪些系统集成服务","t3":"https://www.itgemini.net/p/2611"}],"name1":"干货分享"}}} data2:<nil> description:16年IT服务经验-全国服务电话:400-017-5181 featured: id:3 illustrate:干货分享 keywords:同创双子公司新闻, 同创双,同创双子公司,成都同创双子,北京同创双子,同创双子最新新闻,电脑卡顿,电脑故障,网络故障 name:干货分享 orders:1 state:true tag:<nil> templateslist:{ "controls": [ { "name": "data.name1", "label": "简单标题", "type": "input-text" }, { "type": "combo", "name": "data.banner", "label": "轮播", "multiple": true, "draggable": true, "items": [ { "name": "t1", "label": "标题", "type": "input-text" }, { "name": "t2", "label": "时间", "type": "input-text" }, { "name": "t3", "label": "连接", "type": "input-text" }, { "type": "input-image", "name": "image", "label": "配图", "receiver": "./api/upload?rich=2" } ] } ] } templatespage:{ "controls": [ { "label": "推荐等级", "type": "select", "name": "featured", "options": [ { "label": "不推荐", "value": 0 }, { "label": "首页推荐", "value": 1001 } ] }, { "type": "group", "body": [ { "name": "data.listimg", "label": "列表图片", "receiver": "./api/upload?rich=2", "type": "input-image" }, { "name": "data.img", "label": "首页图片", "receiver": "./api/upload?rich=2", "type": "input-image" } ] }, { "type": "input-rich-text", "name": "data.body", "label": "文章内容", "receiver": "post:./api/upload?rich=1" } ] } title:干货分享-IT技巧-同创双子（北京）信息技术股份有限公司 tmpllist:list tmplpage:page url:share] > 干货分享

突发！incaseformat蠕虫病毒来袭，警惕文件遭删除

发布日期：2021/01/18 08:00:00

1月13日，一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

病毒名称：incaseformat

病毒性质：蠕虫病毒

影响范围：多省市多行业发现感染案例，有规模爆发趋势

危害等级：高危，可导致用户数据丢失

病毒描述

经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

解决方案

由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，深信服安全团队建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：

1、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

2、尽量关闭不必要的共享，或设置共享目录为只读模式；

3、严格规范U盘等移动介质的使用，使用前先进行查杀；

4、如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

对于不幸中病毒的用户，可拨打我们的服务电话：400-617-5181获取服务支持，作为专业IT运维服务商，我们以服务用户为根本，为用户打造更加贴心、完善的服务。

官网文章下方二维码.jpg

上一篇：专业IT运维服务商分享：学回使用Excel里的Alt键，让你彻底告别加班

下一篇：笔记本一直插着电源，会影响电池寿命吗？听听专业IT运维服务商的分析

同创双子为企业保驾护航

专注数字化方案建设，推动智慧企业生态圈的升级发展

了解更多 

相关新闻