动态

突发！incaseformat蠕虫病毒来袭，警惕文件遭删除！

　　自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

　　目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

　　病毒描述

　　经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　值: C:\windows\tsay.exe

　　当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

　　最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

　　解决方案

　　由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：

　　1、  不要随意下载安装未知软件，尽量在官方网站进行下载安装；

　　2、  尽量关闭不必要的共享，或设置共享目录为只读模式；

　　3、  严格规范U盘等移动介质的使用，使用前先进行查杀；

　　4、  如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。可下载如下工具，进行检测查杀：

　　64位系统下载链接：

　　http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

　　32位系统下载链接：

　　http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

　　特别提醒：

　　据有关权威预测，该病毒1月23日、2月4日等日期还会发作，请在此之前进行查杀！

　　建议广大客户采取以下方案：

　　一、备份重要数据至移动硬盘、云盘（做好异地备份）；

　　二、使用专业备份产品；

　　三、将软件升级为云产品。

金华用友u8  金华智能仓储系统  金华用友mes系统

您还有其他问题请咨询在线客服，或拨打服务电话400-697-5258。

期待您的来电，我们将带给您更好的服务。

更多erp管理资讯，请访问：www.jhyongyou.com

本文出自金华坤迪软件有限公司https://www.jhufida.com/info-5585.html，转载请注明出处。