今日，深信服安全團隊監測到一(yī)種名為(wèi)incaseformat的(de)蠕蟲病毒在國內(nèi)爆發，該蠕蟲病毒執行後會自(zì)複制到系統盤Windows目錄下，并創建注冊表自(zì)啓動，一(yī)旦用戶重啓主機，使得病毒母體從Windows目錄執行，病毒進程将會遍曆除系統盤外的(de)所有磁盤文件進行删除，對用戶造成不可(kě)挽回的(de)損失。

目前，已發現國內(nèi)多個區域不同行業用戶遭到感染，病毒傳播範圍暫未見明顯的(de)針對性。

經分析，該蠕蟲病毒在非Windows目錄下執行時，并不會産生删除文件行為(wèi)，但會将自(zì)身複制到系統盤的(de)Windows目錄下，創建RunOnce注冊表值設置開機自(zì)啓，且具有僞裝正常文件夾行為(wèi)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當蠕蟲病毒在Windows目錄下執行時，會再次在同目錄下自(zì)複制，并修改如(rú)下注冊表項調整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍曆删除系統盤外的(de)所有文件，在根目錄留下名為(wèi)incaseformat.log的(de)空文件：

由于該病毒隻有在Windows目錄下執行時會觸發删除文件行為(wèi)，重啓會導緻病毒在Windows目錄下自(zì)啓動，因此，深信服安全團隊建議廣大用戶在未做(zuò)好安全防護及病毒查殺工作前請勿重啓主機：

1、不要随意下載安裝未知軟件，盡量在官方網站進行下載安裝；

2、盡量關閉不必要的(de)共享，或設置共享目錄為(wèi)隻讀模式；深信服EDR用戶可(kě)使用微隔離(lí)功能封堵共享端口；

3、嚴格規範U盤等移動介質的(de)使用，使用前先進行查殺；

4、如(rú)發現已感染主機，先斷開網絡，使用安全産品進行全盤掃描查殺再嘗試使用數據恢複類軟件。深信服為(wèi)廣大用戶提供免費查殺工具，可(kě)下載如(rú)下工具，進行檢測查殺：