關于防范Incaseformat蠕蟲病毒攻擊的安全通告

尊敬的海峽用戶：

1月13日，一種在名為Incaseformat蠕蟲病毒在醫療、政府等各行業的個人電腦上感染。被感染機器除系統盤以外的文件均被刪除，僅留下名為incaseformat.txt的空文件。

建議各用戶做好U盤接入防護以及各主機系統Incaseformat蠕蟲病毒的查殺工作。

【病毒描述】

Incaseformat蠕蟲病毒主要通過U盤等移動介質傳播，如果用戶沒有安全防護軟件或者曾經對該病毒所在的目錄設置了信任，則有可能在感染系統上已存在多年。該蠕蟲病毒偽裝為文件夾圖標，隱藏原始文件夾，并修改注冊表使系統不顯示文件擴展名。首次執行時并不直接刪除文件但會復制到系統分區的C:\Windows\tsay.exe，創建RunOnce注冊表值開機自啟。注冊表位置：   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

該病毒自啟動之后會刪除電腦中除系統盤外的其他分區的所有文件，并在被刪除的磁盤下創建一個incaseformat.txt空文件。

病毒設定下一次刪除時間可能為1月23日，如果不徹底查殺病毒，存在被二次刪除文件的風險。

【處置方案】

1．病毒查殺

檢查各主機系統盤Windows目錄下是否有ttry.exe、tsay.exe文件，若發現可用安全軟件進行查殺。亦可通過手動清除系統盤Windows目錄下的病毒文件，清除注冊表的相關啟動項。

2．數據恢復

可用數據恢復軟件嘗試恢復被刪除的數據。在未恢復數據時，不要對磁盤分區進行寫操作。

【防范建議】

1．為各系統安裝防病毒軟件，更新病毒庫到最新版本，定期執行病毒查殺任務。

2．從官網及正規的渠道獲取應用程序，不建議使用破解、盜版等安全性未知的軟件。

3．嚴格控制U盤等移動介質的使用，移動介質應在全盤查殺后再接入使用，確保無惡意程序存在。

4．黑盾主機防護系統能夠準確識別出系統自身風險和入侵威脅事件，提供對病毒木馬、僵尸蠕蟲、反彈shell等入侵行為進行全面安全防護，為單位提供強有力的采集、檢測、監測、防御、捕獲能力，對主機進行全方位的安全防護。