今日，深信服安全團隊監測到一種名為incaseformat的蠕蟲病毒在國内爆發，該蠕蟲病毒執行後會自複制到系統盤Windows目錄下(xià)，并創建注冊表自啟動(dòng)，一旦用戶重啟主機，使得病毒母體從Windows目錄執行，病毒進程将會遍曆除系統盤外的所有磁盤文(wén)件進行删除，對用戶造成不可(kě)挽回的損失。

目前，已發現國内多個(gè)區域不同行業(yè)用戶遭到感染，病毒傳播範圍暫未見明顯的針對性。

經分析，該蠕蟲病毒在非Windows目錄下(xià)執行時，并不會産生删除文(wén)件行為，但會将自身複制到系統盤的Windows目錄下(xià)，創建RunOnce注冊表值設置開機自啟，且具有僞裝正常文(wén)件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當蠕蟲病毒在Windows目錄下(xià)執行時，會再次在同目錄下(xià)自複制，并修改如(rú)下(xià)注冊表項調整隐藏文(wén)件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍曆删除系統盤外的所有文(wén)件，在根目錄留下(xià)名為incaseformat.log的空文(wén)件：

由于該病毒隻有在Windows目錄下(xià)執行時會觸發删除文(wén)件行為，重啟會導緻病毒在Windows目錄下(xià)自啟動(dòng)，因此，深信服安全團隊建議廣大用戶在未做好安全防護及病毒查殺工作前請勿重啟主機：

1、不要随意下(xià)載安裝未知軟件，盡量在官方網站(zhàn)進行下(xià)載安裝；

2、盡量關(guān)閉不必要的共享，或設置共享目錄為隻讀模式；深信服EDR用戶可(kě)使用微隔離(lí)功能封堵共享端口；

3、嚴格規範U盤等移動(dòng)介質的使用，使用前先進行查殺；

4、如(rú)發現已感染主機，先斷開網絡，使用安全産品進行全盤掃描查殺再嘗試使用數據恢複類軟件。深信服為廣大用戶提供免費查殺工具，可(kě)下(xià)載如(rú)下(xià)工具，進行檢測查殺：