各校园网用户:
近日,一种名为 Incaseformat 蠕虫病毒在国内爆发扩散,该蠕虫病毒执行后将删除被感染计算机所有非系统盘文件,对用户造成不可挽回的损失。该蠕虫病毒设定的下一次删除时间为 1 月 23 日,建议各用户做好 U 盘接入防护以及Incaseformat 蠕虫病毒的查杀工作。
病毒描述:
Incaseformat 蠕虫病毒主要通过 U 盘等移动介质传播, 且具有伪装正常文件夹行为。该蠕虫病毒在非Windows目录下执行时并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,并创建 RunOne 注册表值设置开机自启。注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfs,值: C:\windows\tsay.exe。
当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
当触发条件达到后,该蠕虫病毒将自动运行并遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件。
安全建议:
1.为操作系统安装防病毒软件,并更新病毒库到最新版本,定期执行病毒查杀任务;
2.从官网及正规的渠道获取应用程序,不要随意下载安装未知软件,不建议使用破解、 盗版等安全性未知的软件;
3.尽量关闭不必要的共享,或设置共享目录为只读模式;
4.接入U盘等移动介质前应先对其进行查杀;
5.如发现已感染病毒,应先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。
网络与数据中心
2021年1月14日