[紧急通告]关于 incaseformat 蠕虫病毒的高风险提示-网络与信息化管理中心

[紧急通告]关于 incaseformat 蠕虫病毒的高风险提示

时间：2021-01-14 浏览：

今日，incaseformat 蠕虫出现在互联网上，目前报告部分用户受到感染，导致用户数据被删除。

据悉，该现象是由于一种名为 incaseformat 蠕虫病毒导致的。该蠕虫病毒在执行后会自我复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，将会使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成重大损失。目前，incaseformat蠕虫病毒仍呈现大规模爆发趋势，请广大师生立即做好重要数据备份工作。

经分析，该蠕虫病毒在非Windows 目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows 目录下(即C:\WINDOWS\tsay.exe)，然后创建 RunOnce 注册表值并设置开机自启。病毒文件通过代码实现了删除文件和目录的行为。

被修改的注册表项为：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa。

安全建议

由于该病毒只有在Windows 目录下执行时会触发删除文件行为，重启会导致病毒在Windows 目录下自启动，因此，建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：

(1) 不要随意下载安装未知软件，尽量在官方网站进行下载安装；

(2) 若发现带有文件夹图标的 EXE 文件，除非知道该文件的来源，否则不要打开；调整文件夹选项，将“隐藏已知文件的扩展名”选项的对勾去掉，避免被恶意文件夹图标迷惑；

(3) 不要点击来源不明的邮件以及附件，邮件中包含的链接；

(4) 尽量关闭不必要的共享，或设置共享目录为只读模式；

(5) 严格规范 U 盘等移动介质的使用，使用前先进行病毒查杀；

(6) 使用防恶意代码安全产品 ( 目前已知悉360 杀毒、火绒安全软件等软件均可查杀该病毒) 进行全盘扫描查杀；

(7) 若发现已感染主机，先断开网络，请勿重启主机，可第一时间联系网络与信息化管理中心。

电话：87302941

360 杀毒下载地址：https://www.360.cn/

火绒安全软件下载地址：https://www.huorong.cn/

网络与信息化管理中心

2021年1月14日

网络安全