1037浏览量

Incaseformat 蠕虫病毒风险通告

来源: 时间:2021-01-14

概述:

       自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。该病毒是个2007年的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑,下一个触发时间是2021年1月23日。


简单分析:

incaseformat蠕虫病毒通过以下步骤入侵你的数据:

1、自动将本程序代码复制到系统盘符下的windows目录中(C:/windows/tsay/tsay.exe)
2、在注册表中自动创建开机自动启动的服务
(HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa)
3、病毒在下次用户开机启动后约20s就开始自动删除文件,通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除
4、所有文件夹都被隐藏,只留下一个“incaseformat”文本文档

处理方式:

特别提醒用户,该病毒1月23日、2月4日还会发作,请在此之前进行查杀!

已经安装360安全卫士的用户无需升级即可查杀该病毒!

未安装用户可通过360软件管家安装任一版本360安全卫士,或安装360最新上线的"incaseformat"病毒专杀工具!

专杀工具最新下载地址:http://softdl.360tpcdn.com/auto/20210114/2000002851_e4fb3308216a5d8f7f081ac3d6629c8d.exe

此次有大量用户被删文件的原因,是因为这些用户误将病毒文件加入到信任区,或者根本没有安装安全软件,该病毒很可能已经在用户电脑中潜伏十年以上。


发现文件不见了但空间占用还正常的,不要重启,清空安全卫士信任区后全盘杀毒即可。

如已经重启或硬盘空间减少的情况,请立即切断电源,不要对硬盘进行读写操作,并向专业数据恢复人员求助。

对于不确定有无中毒的用户,建议使用安全卫士-木马查杀-全盘扫描。

联系我们

一次需求提交或许正是成就一个出色产品的开始。
欢迎填写表格或发送合作邮件至: qczsky@126.com

大理青橙科技

电话:13988578755 13988578755

邮箱:qczsky@126.com

地址:大理市下关龙都春天10层

如果您无法识别验证码,请点图片更换