当前位置:首页 > 新闻资讯

突发!incaseformat蠕虫病毒来袭,警惕文件遭删除!

发布日期:2021-01-14

突发!incaseformat蠕虫病毒来袭,警惕文件遭删除!

  自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

  目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

  病毒描述

  经分析,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

  值: C:\windows\tsay.exe

  当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

  最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:

  解决方案

  由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机:

  1、  不要随意下载安装未知软件,尽量在官方网站进行下载安装;

  2、  尽量关闭不必要的共享,或设置共享目录为只读模式;

  3、  严格规范U盘等移动介质的使用,使用前先进行查杀;

  4、  如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。可下载如下工具,进行检测查杀:

  64位系统下载链接:

  http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

  32位系统下载链接:

  http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

  特别提醒:

  据有关权威预测,该病毒1月23日、2月4日等日期还会发作,请在此之前进行查杀!

  建议广大客户采取以下方案:

  一、备份重要数据至移动硬盘、云盘(做好异地备份);

  二、使用专业备份产品;

  三、将软件升级为云产品。

永康ERP软件  永康用友MES软件  永康用友软件


您还有其他问题请咨询在线客服,或拨打服务电话:83189125。

期待您的来电,我们将带给您更好的服务。

更多erp管理资讯,请访问:www.0579yonyou.com


关于我们
用友公司成立于1988年,是亚太本土领先的企业管理软件和企业移动应用、企业云服务提供商,是中国最大的ERP、CRM、人力资源管理、商业分析、内审、小微企业管理软件和财政、汽车、烟草等行业应用解决方案提供商,并在金融、医疗卫生等行业应用以及企业支付、企业通信、管理咨询、培训教育等领域快速发展。基于移动互联网、云计算、大数据、社交等先进技术...
详情>>
服务
友情链接
公司
400-697-5258 136-0579-3908
在线服务
扫描二维码即可关注