今日，深信服安全團隊監測到一種名為incaseformat的蠕蟲(chóng)病毒在國內爆發(fā)，該蠕蟲(chóng)病毒執行后會(huì )自復制到系統盤(pán)Windows目錄下，并創(chuàng )建注冊表自啟動(dòng)，一旦用戶(hù)重啟主機，使得病毒母體從Windows目錄執行，病毒進(jìn)程將會(huì )遍歷除系統盤(pán)外的所有磁盤(pán)文件進(jìn)行刪除，對用戶(hù)造成不可挽回的損失。

目前，已發(fā)現國內多個(gè)區域不同行業(yè)用戶(hù)遭到感染，病毒傳播范圍暫未見(jiàn)明顯的針對性。

經(jīng)分析，該蠕蟲(chóng)病毒在非Windows目錄下執行時(shí)，并不會(huì )產(chǎn)生刪除文件行為，但會(huì )將自身復制到系統盤(pán)的Windows目錄下，創(chuàng )建RunOnce注冊表值設置開(kāi)機自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當蠕蟲(chóng)病毒在Windows目錄下執行時(shí)，會(huì )再次在同目錄下自復制，并修改如下注冊表項調整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統盤(pán)外的所有文件，在根目錄留下名為incaseformat.log的空文件：

由于該病毒只有在Windows目錄下執行時(shí)會(huì )觸發(fā)刪除文件行為，重啟會(huì )導致病毒在Windows目錄下自啟動(dòng)，因此，深信服安全團隊建議廣大用戶(hù)在未做好安全防護及病毒查殺工作前請勿重啟主機：

1、 不要隨意下載安裝未知軟件，盡量在官方網(wǎng)站進(jìn)行下載安裝；

2、  盡量關(guān)閉不必要的共享，或設置共享目錄為只讀模式；深信服EDR用戶(hù)可使用微隔離功能封堵共享端口；

3、  嚴格規范U盤(pán)等移動(dòng)介質(zhì)的使用，使用前先進(jìn)行查殺；

4、 如發(fā)現已感染主機，先斷開(kāi)網(wǎng)絡(luò )，使用安全產(chǎn)品進(jìn)行全盤(pán)掃描查殺再?lài)L試使用數據恢復類(lèi)軟件。深信服為廣大用戶(hù)提供免費查殺工具，可下載如下工具，進(jìn)行檢測查殺：