关于蠕虫病毒 incaseformat 的风险提示

　　2021年1月13日，深信服、360、火绒安全实验室等国内安全公司对外发布预警，称一种名为incaseformat的蠕虫病毒在国内爆发。蠕虫病毒因其会伪装成其他文件、不断复制自身的特性，具有非常强的传播性。即便被安全软件查杀，也经常会被用户错当成“误杀”，进行信任处理。也因此，蠕虫病毒在学校等单位的内网中的活跃度一直居高不下。此次的病毒与常见的蠕虫病毒不同，除了具有伪装文件夹图标，隐藏原始文件夹的危害以外，还设置了定时删除文件的逻辑。一旦满足设定的时间，将会删除用户电脑中除C盘之外的其他盘符的所有文件，并且可能在磁盘根目录创建“incaseformat.txt”文本文档。

一、病毒介绍

　　该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　值: C:\windows\tsay.exe

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

二、危害影响

　　该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

三、建议

　　由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，建议广大师生在未做好安全防护及病毒查杀工作前请勿重启主机：

　　1、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

　　2、尽量关闭不必要的共享，或设置共享目录为只读模式；

　　3、严格规范U盘等移动介质的使用，使用前先进行查杀；

　　4、如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

文章来源：https://mp.weixin.qq.com/s/bGyzsDHfKHgMJw27Us7Y0w