摘要：管理員注意，incaseformat蠕蟲病毒來襲!請盡快安裝終端安全管理軟件，進行終端防護及時止損。

        事件背景：

        近期，國內多家用戶反饋辦公設備被incaseformat 蠕蟲病毒感染，機器中除了系統盤以外，其他文件全部被刪除。

        Incaseformat病毒本身是一個老病毒，其通過U盤及共享文件夾等進行傳播，該病毒會循環遍歷刪除系統盤外其他磁盤的文件，并復制病毒到當前文件夾相同的位置，由于其預制的觸發時間到期，病毒脫離潛伏，開始爆發。

        運行分析：

        Incaseformat病毒通過U盤或共享文件夾等進行傳播后，會將自身設置成文件夾圖標，并隱藏exe后綴名。通過誘導用戶點擊或雙擊打開與偽裝文件夾同名的隱藏文件夾，復制病毒到windows目錄。incaseformat 蠕蟲病毒第一次運行后，不會有惡意行為，為防止用戶發現異常，該病毒首先會判斷是否在系統盤目錄下和自身文件名，隨后進行自復制和設置注冊表自啟動，啟動后判斷自身文件路徑是否為 "C:windowstsay.exe" 或者 "C:windowsttry.exe"。待重啟計算機后蠕蟲病毒特定時間條件下開始下一步運行，其會循環遍歷刪除系統盤以外的所有文件，并在根路徑下留下incaseformat.log文件。

        在大數據時代下，企業擁有一套應對風險、威脅以及漏洞的定期管理防護體系，在安全事件響應的生命周期中顯得尤其重要。有效的安全應急響應體系使企業在面對安全事件時，能夠及時啟動應對措施。

        北信源新一代終端安全管理體系，從內網安全、數據安全、邊界安全、防病毒等方向對Windows終端、國產終端、移動終端、虛擬化終端提供全方位、立體化的安全防護體系，目前已廣泛應用于政府、軍隊軍工、公安、金融、能源等重要單位，成功部署數千萬終端。

        解決方案：

        方案1:使用北信源終端安全管理系統，禁用tsay.exe、 ttry.exe進程，防止病毒運行，并查找曾運行的進程，發現并處理感染源。

        方案2:使用北信源安全U盤，禁用網絡共享，從根本上防止病毒傳播。北信源安全U盤具備特有的私有化文件系統及安全傳輸機制，可有效防止病毒自動復制、自動運行，從原理上控制Incaseformat變種病毒。

        方案3:使用北信源殺毒軟件防范病毒運行：

        病毒文件運行時殺毒軟件會彈出提示框，彈出提示時立即刪除。

        病毒運行時，殺毒軟件會提示病毒正在修改注冊表，立即阻止。

        此外，對出現病毒現象的主機應直接全盤查殺，由于重啟會觸發病毒的全盤刪除機制，因此在確認清除病毒前請勿重啟計算機。

        安全建議：

        辦公設備不使用U盤等移動存儲介質，在必要情況下，建議使用移動存儲介質管理產品進行防護控制。不隨便打開或拷貝共享文件，下載郵件或軟件時需留意文件后綴是否是.exe以及文件夾圖標樣式。一旦發現電腦異常(如：發現文件夾圖標文件后綴為.exe或者在磁盤根目錄發現創建“incaseformat.txt”文件)，請勿重啟電腦，可使用北信源防病毒執行全盤查殺清除病毒。若已經重啟電腦導致除C盤外其他盤文件被刪除，可重新安裝北信源殺毒進行全盤掃描，并在殺毒后嘗試利用數據恢復軟件恢復數據，或請專業數據恢復公司進行數據恢復。

        北信源，為您的信息安全保駕護航!

《電鰻快報》