校园网各用户：

近日，国内多家客户反馈办公设备被名为 incaseformat 蠕虫病毒感染，受害者机器中除了系统盘以外，其他文件全部被删除。

一、病毒基本情况

incaseformat 蠕虫病毒发现至今已有10多年历史，一般通过 U 盘进行传播，该蠕虫病毒会遍历删除系统盘以外的文件，并在根目录下创建名为 incaseformat.log 的空文件，由于病毒代码中设置变量值的错误，导致计算当前系统时间出错，所以直到 2021 年 1 月 13 日才被触发。

根据对该病毒的综合研判，病毒有其下四大特征：

一是传播性较强：主要通过U盘和网络共享等文件介质传播，没有网络传播性，没有利用漏洞进行横向移动的行为；

二是较难根除：由于具备蠕虫性的感染能力，一旦在局域网内出现，除非进行大规模无死角的全网杀毒，很难将病毒彻底根除；

三是潜伏性很强：对于未安装杀毒软件或误将该病毒加入信任区的终端，可以长期潜伏，直到指定日期发作；

四是破坏性非常强：一旦发作将会删除硬盘上的所有文件，造成不可逆的损失。

二、病毒爆发日期

三、手工排查方法

1.检测是否存在以下文件：

C:\Windows\tsay.exe

C:\Windows\ttry.exe

2.检测注册表路径

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”项。

四、防范措施建议

1.办公设备不使用 U 盘等移动存储工具，在必要情况下，使用前进行 U 盘查杀。

2.不随便打开共享文件，并通过正规官方渠道下载软件。

3.关闭文件共享目录或者设置共享目录为只读模式。

4.保持系统以及软件及时更新，定期排查内部系统漏洞、弱口令等。

5.机器中招后首先进行查杀处置，清除病毒后，可使用第三方数据恢复工具尝试进行恢复。

6.查杀工具可使用USBCleaner(www.usbcleaner.cn)或者其他杀毒软件。专杀工具下载地址：

http://dl.qianxin.com/skylar6/FocusTool.latest.zip

信息化技术中心

2021年1月15日