[[375979]]

1 月 13 日晚，360、深信服等安全公司發(fā)布了緊急預(yù)警，稱監(jiān)測(cè)到蠕蟲(chóng)病毒 incaseformat 大范圍爆發(fā)，已有多家公司發(fā)生磁盤數(shù)據(jù)被刪事件。

該蠕蟲(chóng)病毒主要通過(guò) U 盤傳播，感染用戶機(jī)器后會(huì)通過(guò) U 盤自我復(fù)制感染到其他電腦。病毒啟動(dòng)后會(huì)自動(dòng)復(fù)制到 C：WINDOWStsay.exe，待計(jì)算機(jī)重新啟動(dòng)后在開(kāi)機(jī) 20s 內(nèi)刪除用戶數(shù)據(jù)。

據(jù)安全監(jiān)測(cè)機(jī)構(gòu)預(yù)計(jì)，incaseformat 蠕蟲(chóng)病毒可能會(huì)在 1 月 23 日再次爆發(fā)，建議用戶提前做好預(yù)防數(shù)據(jù)丟失的防范工作。

蠕蟲(chóng)病毒大范圍爆發(fā)，開(kāi)機(jī) 20s 刪除用戶文件

安全監(jiān)測(cè)機(jī)構(gòu)分析發(fā)現(xiàn)，該蠕蟲(chóng)病毒是通過(guò) DeleteFileA 和 RemoveDirectory 代碼對(duì)計(jì)算機(jī)內(nèi)的文件進(jìn)行了刪除。該病毒還能自動(dòng)復(fù)制到 C:WINDOWStsay.exe 創(chuàng)建啟動(dòng)項(xiàng)后退出，計(jì)算機(jī)再次啟動(dòng)后會(huì)在開(kāi)機(jī) 20s 開(kāi)始刪除用戶文件。

據(jù)了解，這已經(jīng)不是該蠕蟲(chóng)病毒第一次爆發(fā)了，早在 2014 年就發(fā)生過(guò)類似事件。

目前，國(guó)內(nèi)已有多個(gè)地區(qū)的不同行業(yè)用戶受到該蠕蟲(chóng)病毒影響，但暫時(shí)還沒(méi)發(fā)現(xiàn)該病毒具有何種傳播范圍的針對(duì)性。

病毒只在 Windows 目錄下運(yùn)行

據(jù)深信服安全研究團(tuán)隊(duì)介紹，該蠕蟲(chóng)病毒只有在 Windows 目錄下執(zhí)行時(shí)，才會(huì)觸發(fā)刪除文件行為。在非 Windows 目錄下執(zhí)行時(shí)，病毒會(huì)自動(dòng)復(fù)制到系統(tǒng)盤的 Windows 目錄下，創(chuàng)建 RunOnce 注冊(cè)表值設(shè)置開(kāi)機(jī)自啟，并將自己偽裝成正常文件。

當(dāng)蠕蟲(chóng)病毒在 Windows 目錄下執(zhí)行時(shí)，會(huì)再次在同目錄下自復(fù)制，并修改如下注冊(cè)表項(xiàng)調(diào)整隱藏文件：

遍歷刪除系統(tǒng)盤外所有的文件后，該蠕蟲(chóng)病毒會(huì)在根目錄留下名為 incaseformat.log 的空文件：

專家發(fā)布安全建議：

• incaseformat 蠕蟲(chóng)病毒大范圍爆發(fā)后，多家安全機(jī)構(gòu)已經(jīng)緊急發(fā)布了病毒掃描版本支持檢測(cè)計(jì)算機(jī)的病毒。

安全專家建議，如果計(jì)算機(jī)內(nèi)已有病毒感染，應(yīng)立即斷開(kāi)網(wǎng)絡(luò)，并使用殺毒軟件進(jìn)行全面查殺，可嘗試使用數(shù)據(jù)恢復(fù)軟件進(jìn)行數(shù)據(jù)恢復(fù)。

安全建議：

• 不要打開(kāi)未知來(lái)源文件;
• 不要下載安裝非官方網(wǎng)站的軟件;
• 不要選擇“隱藏已知文件的擴(kuò)展名”;
• 禁止 U 盤自動(dòng)運(yùn)行;
• 使用高強(qiáng)度密碼并定期更換;
• 注意備份重要文件。