1月13日，一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自动复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

值: C:windowstsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件： 

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt -> 0x1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue -> 0x0

最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

相关机构分析，该蠕虫正常情况下表现为文件夹蠕虫，集中爆发是由于病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，爆发该蠕虫事件的用户感染时间应该早于1月13号，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2月4日。

目前，已发现国内多个区域不同行业用户遭到感染，选哲科技提醒广大伙伴和用户，对数据安全要时刻保持警惕，提前做好以下安全防护措施：

【1】安装正规杀毒软件，并将软件和病毒库升级到最新版；

【2】不要下载、打开来源不明的软件、文件和图片；

【3】尽量关闭不必要的共享，或设置共享目录为只读模式；

【4】严格规范U盘等移动介质的使用，使用前先进行查杀；

【5】使用高强度密码并定期更换；

【6】定期拷贝重要文件，并异地备份，做好提前防护，确保数据库安全备份；

【7】尽量将服务器部署在云端。

面对这次病毒攻击，相信广大用户感受到了数据对于一个企业的重要性，当发生这种天灾人祸或系统硬件故障时，本地帐套数据丢失后，后果不堪设想。云盾服务中的云备份功能可以把企业数据备份到云端，这样即使数据意外丢失，还是可以从已备份的云端下载恢复数据，把企业损失降到最低！同时云备份还能保障企业数据不被非法获取，保障数据安全！

详情请咨询：139-6806-9700 或 添加微信号：9269263

扫码关注更多精彩

咨询热线：4000-123-020