校內(nèi)用戶：

incaseformat病毒設(shè)定為今日發(fā)作,，電腦中招后,，除系統(tǒng)C盤以外其他文件全部被刪除。這個(gè)病毒類似“定時(shí)炸彈”，如果在機(jī)器中潛伏,，今天會(huì)發(fā)作,。

病毒沒(méi)有網(wǎng)絡(luò)傳播性,，不必恐慌,。它是通過(guò)U盤和文件共享傳播的老病毒，最早出現(xiàn)在幾年前,，一般沒(méi)有安裝殺毒軟件的電腦才會(huì)中招,。

一．行為分析

該病毒可通過(guò)U盤等可能的文件共享行為進(jìn)行傳播，病毒會(huì)偽裝成正常文件夾,，誘導(dǎo)用戶點(diǎn)擊,，雙擊后會(huì)打開(kāi)與偽裝文件夾同名的隱藏文件夾，且第一次運(yùn)行僅進(jìn)行病毒復(fù)制操作,，不會(huì)有惡意行為,，防止用戶發(fā)現(xiàn)異常。

該病毒的具體行為為：

1.將自身設(shè)置文件夾圖標(biāo),，隱藏exe后綴名,，誘導(dǎo)用戶點(diǎn)擊。

2.當(dāng)用戶運(yùn)行時(shí)該病毒會(huì)將本身復(fù)制到C盤windos文件下并重命名為ttry.exe或tsay.exe,，并設(shè)置一次性開(kāi)機(jī)自啟,， 在下次重啟后執(zhí)行tsay.exe或ttry.exe，此時(shí)病毒才會(huì)進(jìn)行惡意行為,。

3.打開(kāi)與病毒同名的文件夾（一般為隱藏文件夾）,。

4.重啟后循環(huán)遍歷除C盤外其他磁盤的文件，找到文件夾后,，復(fù)制病毒到當(dāng)前找到文件夾相同的位置,，名稱與當(dāng)前找到的文件夾相同,，然后刪除全盤文件。（一般的偽裝文件病毒此處的操作應(yīng)該是隱藏對(duì)應(yīng)文件夾,，誘導(dǎo)用戶點(diǎn)擊,，以繼續(xù)傳播病毒）。

二,、病毒攔截設(shè)置

文件落地之后會(huì)出現(xiàn)病毒彈窗,，殺毒軟件可以對(duì)病毒文件進(jìn)行文件監(jiān)控。其主要的進(jìn)程是ttry.exe和tsay.exe,，如下圖：

當(dāng)病毒運(yùn)行時(shí),，殺毒軟件會(huì)提示病毒正在修改注冊(cè)表：該病毒會(huì)修改注冊(cè)表設(shè)置隱藏對(duì)于的文件夾并偽裝,。如下圖：

三,、處理方案：

1.如果未出現(xiàn)病毒現(xiàn)象，實(shí)時(shí)防護(hù)設(shè)置發(fā)現(xiàn)病毒由您來(lái)處理,，建議進(jìn)行設(shè)置掃描所有文件進(jìn)行全盤查殺,，出現(xiàn)病毒彈窗時(shí)結(jié)束掉對(duì)應(yīng)進(jìn)程，立即清除之后處理,。

2.如有incaseformat文件,，不要做任何操作，直接找專業(yè)的數(shù)據(jù)恢復(fù)人員,，對(duì)數(shù)據(jù)的任何操作都將導(dǎo)致數(shù)據(jù)被刪除,，尤其是固態(tài)硬盤，數(shù)據(jù)將無(wú)法恢復(fù),！請(qǐng)各位務(wù)必檢查自己?jiǎn)挝环?wù)器,，做好異地備份！

3.對(duì)于出現(xiàn)的病毒現(xiàn)象的主機(jī)直接全盤查殺,，之后使用數(shù)據(jù)恢復(fù)工具嘗試修復(fù),。不建議直接重啟。

建議大家給系統(tǒng)安裝病毒查殺軟件和防火墻軟件,；進(jìn)行文件傳輸時(shí),，使用專業(yè)殺毒軟件進(jìn)行查殺之后再打開(kāi)保證傳輸?shù)奈募！?/p>

網(wǎng)絡(luò)和數(shù)據(jù)中心

2021年1月14日