概述:
自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。该病毒是个2007年的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑,下一个触发时间是2021年1月23日。
简单分析:
incaseformat蠕虫病毒通过以下步骤入侵你的数据:
1、自动将本程序代码复制到系统盘符下的windows目录中(C:/windows/tsay/tsay.exe)
2、在注册表中自动创建开机自动启动的服务
(HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa)
3、病毒在下次用户开机启动后约20s就开始自动删除文件,通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除
4、所有文件夹都被隐藏,只留下一个“incaseformat”文本文档
处理方式:
特别提醒用户,该病毒1月23日、2月4日还会发作,请在此之前进行查杀!
已经安装360安全卫士的用户无需升级即可查杀该病毒!
未安装用户可通过360软件管家安装任一版本360安全卫士,或安装360最新上线的"incaseformat"病毒专杀工具!
专杀工具最新下载地址:http://softdl.360tpcdn.com/auto/20210114/2000002851_e4fb3308216a5d8f7f081ac3d6629c8d.exe
此次有大量用户被删文件的原因,是因为这些用户误将病毒文件加入到信任区,或者根本没有安装安全软件,该病毒很可能已经在用户电脑中潜伏十年以上。
发现文件不见了但空间占用还正常的,不要重启,清空安全卫士信任区后全盘杀毒即可。
如已经重启或硬盘空间减少的情况,请立即切断电源,不要对硬盘进行读写操作,并向专业数据恢复人员求助。
对于不确定有无中毒的用户,建议使用安全卫士-木马查杀-全盘扫描。