网络安全
智慧江服
江服新鲜事
网络安全
今日,incaseformat 蠕虫出现在互联网上,目前报告部分用户受到感染,导致用户数据被删除。
据悉,该现象是由于一种名为 incaseformat 蠕虫病毒导致的。该蠕虫病毒在执行后会自我复制到系统盘Windows目录下,并创建注册表自启 动,一旦用户重启主机,将会使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成重大损失。 目前,incaseformat蠕虫病毒仍呈现大规模爆发趋势,请广大师生立即 做好重要数据备份工作。
经分析,该蠕虫病毒在非Windows 目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows 目录下(即C:\WINDOWS\tsay.exe),然后创建 RunOnce 注册表值并设置开机自启。病毒文件通过代码实现了删除文件和目录的行为。
被修改的注册表项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa。
安全建议
由于该病毒只有在Windows 目录下执行时会触发删除文件行为,重启 会导致病毒在Windows 目录下自启动,因此,建议广大用户在未做好安全 防护及病毒查杀工作前请勿重启主机:
(1) 不要随意下载安装未知软件,尽量在官方网站进行下载安装;
(2) 若发现带有文件夹图标的 EXE 文件,除非知道该文件的来源,否则 不要打开;调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去 掉,避免被恶意文件夹图标迷惑;
(3) 不要点击来源不明的邮件以及附件,邮件中包含的链接;
(4) 尽量关闭不必要的共享,或设置共享目录为只读模式;
(5) 严格规范 U 盘等移动介质的使用,使用前先进行病毒查杀;
(6) 使用防恶意代码安全产品 ( 目前已知悉360 杀毒、火绒安全软件等 软件均可查杀该病毒) 进行全盘扫描查杀;
(7) 若发现已感染主机,先断开网络,请勿重启主机,可第一时间联 系网络与信息化管理中心。
电话:87302941
360 杀毒下载地址:https://www.360.cn/
火绒安全软件下载地址:https://www.huorong.cn/
网络与信息化管理中心
2021年1月14日
智慧江服
江服新鲜事