20s刪除使用者檔案的incaseformat蠕蟲病毒大爆發!

近日，360、深信服等安全公司釋出了緊急預警，稱監測到蠕蟲病毒 incaseformat 大範圍爆發，已有多家公司發生磁碟資料被刪事件。

360、深信服等安全公司釋出了緊急預警，稱監測到蠕蟲病毒 incaseformat 大範圍爆發，已有多家公司發生磁碟資料被刪事件。

該蠕蟲病毒主要透過 U 盤傳播，感染使用者機器後會透過 U 盤自我複製感染到其他電腦。病毒啟動後會自動複製到 C：WINDOWStsay.exe，待計算機重新啟動後在開機 20s 內刪除使用者資料。

據安全監測機構預計，incaseformat 蠕蟲病毒可能會在 1 月 23 日再次爆發，建議使用者提前做好預防資料丟失的防範工作。

安全監測機構分析發現，該蠕蟲病毒是透過 DeleteFileA 和 RemoveDirectory 程式碼對計算機內的檔案進行了刪除。該病毒還能自動複製到 C:WINDOWStsay.exe 建立啟動項後退出，計算機再次啟動後會在開機 20s 開始刪除使用者檔案。

據瞭解，這已經不是該蠕蟲病毒第一次爆發了，早在 2014 年就發生過類似事件。

目前，國內已有多個地區的不同行業使用者受到該蠕蟲病毒影響，但暫時還沒發現該病毒具有何種傳播範圍的針對性。

據深信服安全研究團隊介紹，該蠕蟲病毒只有在 Windows 目錄下執行時，才會觸發刪除檔案行為。在非 Windows 目錄下執行時，病毒會自動複製到系統盤的 Windows 目錄下，建立 RunOnce 登錄檔值設定開機自啟，並將自己偽裝成正常檔案。

當蠕蟲病毒在 Windows 目錄下執行時，會再次在同目錄下自複製，並修改如下注冊表項調整隱藏檔案：

遍歷刪除系統盤外所有的檔案後，該蠕蟲病毒會在根目錄留下名為 incaseformat.log 的空檔案：

incaseformat 蠕蟲病毒大範圍爆發後，多家安全機構已經緊急釋出了病毒掃描版本支援檢測計算機的病毒。
安全專家建議，如果計算機內已有病毒感染，應立即斷開網路，並使用防毒軟體進行全面查殺，可嘗試使用資料恢復軟體進行資料恢復。

安全建議：

1. 不要開啟未知來原始檔;
2. 不要下載安裝非官方網站的軟體;
3. 不要選擇“隱藏已知檔案的副檔名”;
4. 禁止 U 盤自動執行;
5. 使用高強度密碼並定期更換;
6. 注意備份重要檔案。