喜欢就关注我吧，订阅更多最新消息

一种名为incaseformat的蠕虫病毒在国内爆发；恶意删除用户文件，“它”到底是什么来头！

incaseformat

从搜索引擎结果来看，该病毒最早出现时间为 2009 年，主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun，从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。此次的病毒与常见的蠕虫病毒不同，除了具有伪装文件夹图标，隐藏原始文件夹的危害以外，还设置了定时删除文件的逻辑。一旦满足设定的时间，将会删除用户电脑中除C盘之外的其他盘符的所有文件，并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因，是因为这些用户对该病毒进行了信任，或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。不仅如此，该病毒设定的删除日期不止1月13日，距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒，将面临再次被删除的危害。

• 病毒性质：蠕虫病毒

• 影响范围：感染案例居多，有规模爆发趋势

• 危害等级：高危

影响范围

此病毒会删除所有非系统分区的文件。

处置建议

由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，请广大用户在做好充分的安全防护及病毒查杀工作之后再重启主机。

1、预防措施

• 对安全软件的警告予以重视

• 不要轻易将可疑文件添加到信任白名单

2、不幸中招

可以在清除病毒之后，使用文件恢复工具将被删除的文件还原，只要是未做较多的文件覆盖操作，恢复成功的概率较大（SSD硬盘例外，因存储机制不同，删除后难以恢复。）

3、自我防护

合天网安实验室，涵盖多种类型的实验内容，通过合天网安实验室能够快速、准确、大批量构建相互独立的虚拟实验环境。增强网络安全方面的知识与实操经验，大家可以选择来平台进行学习。点击阅读原文进入实验室体验！

病毒内容相关实验截图

*部分内容来源网络，侵删

快戳“阅读原文”做靶场练习