堪比熊猫烧香！中国新型蠕虫病毒大爆发！电脑瞬间报废

近日，深信服安全团队监测到一种名为incaseformat的病毒，全国各个区域都出现了被incaseformat病毒删除文件的用户。

经调查，该蠕虫正常情况下表现为文件夹蠕虫，执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。该病毒于 1 月 13 日集中爆发是由于病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，爆发该蠕虫事件的用户感染时间应该早于 1 月 13 号，根据分析推测，下次触发删除文件行为的时间约为 2021 年 1 月 23 日和 2 月 4 日。为此深信服免费提供了查杀工具incaseformat病毒帮助广大用户检测查杀incaseformat。

以上内容来自站长之家

对于蠕虫病毒，大多数人可能不够了解，但也应该听说过2007年肆虐网络的“熊猫烧香”和这几年比较火爆的“勒索病毒”，这两个病毒都属于蠕虫病毒。感染“熊猫烧香”的电脑可执行文件会出现“熊猫烧香”图案，感染“勒索病毒”的电脑会对文件进行加密，向电脑的用户勒索赎金。

蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后，蠕虫会以这些计算机为宿主继续扫描并感染其他计算机，这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播，按照指数增长的规律分布自己，进而及时控制越来越多的计算机。

蠕虫病毒的传播性极强，短时间内就能大范围传播。而且随着技术的进步，蠕虫病毒的隐蔽性和传播方式越来越多样化。现在这种病毒通常利用网页进行传播，如果用户进入了含有蠕虫病毒的网址，就有可能导致自己的电脑被感染。

火绒安全关于Incaseformat蠕虫病毒详细解答

1月13日,Incaseformat病毒因其破坏性以及集中爆发的特性,在全网引起了大量用户的高度关注。火绒安全实验室迅速对该事件跟进确认,并整理、解答用户关心的8个重要问题。

1、incaseformat病毒是什么类型病毒?

incaseformat病毒为蠕虫病毒,不具备加密文件危害。同时该病毒也并非新型病毒,而是存在已久,并于本月13集中发作。

2、病毒是如何传播的?

该病毒主要传播方式为U盘等移动存储器设备。经火绒工程师分析确认,该病毒不会通过U盘以外的网络共享、漏洞等常见蠕虫传播方式传播。

3、如何防御该病毒?

目前主流安全软件均可防御。火绒个人和企业用户无需升级,即可拦截和查杀此病毒(火绒的检测名称为:HEUR:Worm/Autorun.o)。同时火绒的【免疫防护】功能,可确保即使信任该病毒,仍会对其进行拦截。

4、已经中毒如何查杀?

清空信任区,全盘扫描,并对可移动设备进行查杀。

5、被删除的文件还能恢复吗?

恢复可能性较高。因为病毒删除文件时没有对文件做覆写或破坏操作,用户可以联系专业的数据恢复公司进行恢复。千万注意,在数据重要的情况下不要自行操作。

6、如何检测自己电脑里是否有 Incaseformat病毒?

(1)手工检测方法

在以下路径查看是否存在

C:Windowstsay.exe

C:Windowsttry.exe

(2)脚本检测方法

将以下脚本内容复制粘贴到任意扩展名为.bat的批处理文件中,双击执行,即可输出检测结果。(bat编码集需要选择为ANSI)

@echo offset tsay_path=C:Windowstsay.exeset ttry_path=C:Windowsttry.exeif exist %tsay_path% goto findif exist %ttry_path% goto findecho 本机没有找到【incaseformat】病毒,安装安全软件,排查信任区并确认实时监控是否开启echo.pauseexit:findecho 本机存在【incaseformat】病毒,请联系管理员处理echo.pauseexit

该病毒内设置了定时发作的指令,因此具备一定潜伏期。但由于BUG原因导致在2021年1月13日突然发作。