安全提醒：火绒完整版+数据恢复软件应对2021年1月13日incaseformat蠕虫病毒

[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!

这两天朋友圈一直在传播incaseformat蠕虫病毒，其实这病毒就是很久以前的蠕虫病毒，搞的大家都人心惶惶的，有的财务数据都已经丢失等等，其实消灭也很简单，具体往下看；

被“incaseformat”蠕虫病毒删除文件？不要慌，X讯iOA、御点、管家都能杀，文件也能恢复 有网友反应遭遇“incaseformat”病毒攻击，硬盘除 C 盘外，其他分区文件被删除，仅保留 一个名为“incaseformat.log”的 0 字节文件。X讯安全专家分析后发现，这是一个很古老的 蠕虫病毒。X讯 iOA、X讯御点、X讯电脑管家均可查杀。即使病毒已产生破坏，被删除的文 件恢复的概率也较高。

该病毒在非 Windows 目录下运行时，并不会删除文件，但会修改注册表启动项，实现开机自 启动，拷贝自身到 windows目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe)，同时设 置注册表 runonce的 msfsa 项。

当病毒在 windows 目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe)运行时，会修改注 册表不显示隐藏属性的文件，最后会遍历磁盘，删除所有除系统盘之外的文件，只在硬盘根目 录留下名为 incaseformat.log的空文件。

X讯安全专家表示，因该病毒采用文件夹的图标，会使一部分用户误认为是正常软件，而将杀毒软件的防护功能关闭，或者将病毒添加到信任白名单里，最终在这些用户的系统上会造成病 毒发作文件被删除。 由于病毒代码设置变量值的错误，导致病毒计算当前系统时间出错，因而在 2021 年 1 月 13日触发删除文件等操作（下一次发作是 1 月 23 日）。之所以用户电脑的安全软件未作出响应，可能是用户错误地将病毒文件添加为信任白名单所致。 X讯安全建议用户勿轻易判定安全软件的警告为误报，勿轻易将可疑文件添加到信任白名单， 可避免受害。如果已有用户不幸中招，可以在清除病毒之后，使用文件恢复工具将被删除的文 件还原，只要用户未做较多的文件覆盖操作，恢复成功的概率较大（SSD硬盘以及M2硬盘例外，因存储机 制不同，删除后难以恢复。）

IOCs MD5（部分同源样本）
ef5b7e56bfb0fa8106ed34d03fac1c54
8c2684749c3fb167f461fd232949a19d
a4063fdcca320255b6cbf346b136729f
bd3ec766a3e9b06de1fc5814c683631b
d7bfa872efe8abf74ea9bbe0cd4602a8d
223e83d01acbf7681d7e8f88f03151b
bb7b42ad834ad913d940d07ccb07acbb
a1b1cfa4cb764163967c33e297e61bc3
b47a2e878a90fc69edeb291c601e4016
93bd1f3cbe0e17705b7e871aa277e3cb
08b23af62b33dadff2f3e83ce1281127
bc538c071683816ae9f37aff51d615a0
5a072207501195802968ff7c79e6a69
7c82fe43617d43fb2f8b77bfa480571b
9f3bcbd38ee225690ed613d518c101f9
4b9b17a4c93e31ba7ef7eeaa930e5caf
3a27dc421e70d4b5b054d7e1e3ff2335

安全提醒：

1、若未被感染也需要进行全盘查杀确保安全！因为病毒还会在1月23日重新发起删除操作！！！

2、若已经被感染，切勿重启！切勿重启！切勿重启！请在清除信任区，全盘查杀后，在不关机重启的情况下使用数据恢复软件恢复数据，或联系专业的数据恢复服务人员操作；

3、此后若遇到安全软件频繁报毒的情况，很大概率就是感染了蠕虫病毒，应第一时间咨询安全厂商，不要轻易对其进行信任！！

问题未解决？付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信

所写所说，是心之所感，思之所悟，行之所得；文当无敷衍，落笔求简洁。 以所舍，求所获；有所依，方所成！