校園網(wǎng)各用戶：

近日，國(guó)內(nèi)多家客戶反饋辦公設(shè)備被名為 incaseformat 蠕蟲病毒感染，受害者機(jī)器中除了系統(tǒng)盤以外，其他文件全部被刪除。

一、病毒基本情況

incaseformat 蠕蟲病毒發(fā)現(xiàn)至今已有10多年歷史，一般通過(guò) U 盤進(jìn)行傳播，該蠕蟲病毒會(huì)遍歷刪除系統(tǒng)盤以外的文件，并在根目錄下創(chuàng)建名為 incaseformat.log 的空文件，由于病毒代碼中設(shè)置變量值的錯(cuò)誤，導(dǎo)致計(jì)算當(dāng)前系統(tǒng)時(shí)間出錯(cuò)，所以直到 2021 年 1 月 13 日才被觸發(fā)。

根據(jù)對(duì)該病毒的綜合研判，病毒有其下四大特征：

一是傳播性較強(qiáng)：主要通過(guò)U盤和網(wǎng)絡(luò)共享等文件介質(zhì)傳播，沒(méi)有網(wǎng)絡(luò)傳播性，沒(méi)有利用漏洞進(jìn)行橫向移動(dòng)的行為；

二是較難根除：由于具備蠕蟲性的感染能力，一旦在局域網(wǎng)內(nèi)出現(xiàn)，除非進(jìn)行大規(guī)模無(wú)死角的全網(wǎng)殺毒，很難將病毒徹底根除；

三是潛伏性很強(qiáng)：對(duì)于未安裝殺毒軟件或誤將該病毒加入信任區(qū)的終端，可以長(zhǎng)期潛伏，直到指定日期發(fā)作；

四是破壞性非常強(qiáng)：一旦發(fā)作將會(huì)刪除硬盤上的所有文件，造成不可逆的損失。

二、病毒爆發(fā)日期

三、手工排查方法

1.檢測(cè)是否存在以下文件：

C:\Windows\tsay.exe

C:\Windows\ttry.exe

2.檢測(cè)注冊(cè)表路徑

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”項(xiàng)。

四、防范措施建議

1.辦公設(shè)備不使用 U 盤等移動(dòng)存儲(chǔ)工具，在必要情況下，使用前進(jìn)行 U 盤查殺。

2.不隨便打開共享文件，并通過(guò)正規(guī)官方渠道下載軟件。

3.關(guān)閉文件共享目錄或者設(shè)置共享目錄為只讀模式。

4.保持系統(tǒng)以及軟件及時(shí)更新，定期排查內(nèi)部系統(tǒng)漏洞、弱口令等。

5.機(jī)器中招后首先進(jìn)行查殺處置，清除病毒后，可使用第三方數(shù)據(jù)恢復(fù)工具嘗試進(jìn)行恢復(fù)。

6.查殺工具可使用USBCleaner(www.usbcleaner.cn)或者其他殺毒軟件。專殺工具下載地址：

http://dl.qianxin.com/skylar6/FocusTool.latest.zip

信息化技術(shù)中心

2021年1月15日