incaseformat蠕蟲病毒蔓延！

新冠疫情尚未結束，電腦病毒爆發而來！近期，聯軟科技發現國內有多省市多行業用戶發生incaseformat的蠕蟲病毒，該蠕蟲病毒執行后會自復制到系統盤Windows目錄下，并創建注冊表自啟動，一旦用戶重啟主機，使得病毒母體從Windows目錄執行，病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除，對用戶造成不可挽回的損失。

目前，已發現國內多個區域不同行業用戶遭到感染，病毒傳播范圍暫未見明顯的針對性。

病毒名稱：incaseformat

病毒性質：蠕蟲病毒

影響范圍：多省市多行業發現感染案例，有規模爆發趨勢

危害等級：高危，可導致用戶數據丟失

一、漏洞情況分析

經分析，該蠕蟲病毒在非Windows目錄下執行時，并不會產生刪除文件行為，但會將自身復制到系統盤的Windows目錄下，創建RunOnce注冊表值設置開機自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當蠕蟲病毒在Windows目錄下執行時，會再次在同目錄下自復制，并修改如下注冊表項調整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統盤外的所有文件，在根目錄留下名為incaseformat.log的空文件：

二、漏洞修復方法

由于該病毒只有在Windows目錄下執行時會觸發刪除文件行為，重啟會導致病毒在Windows目錄下自啟動，因此，聯軟科技安全團隊建議廣大用戶在未做好安全防護及病毒查殺工作前請勿重啟主機。

防護措施：

1、incaseformat病毒是利用U盤傳播的病毒，已部署聯軟EPP終端安全管理平臺的用戶，可通過設定U盤安全防護策略，有效防范該病毒的傳播。

●禁止自動運行?？煞乐挂迅腥镜腢盤雙擊打開時病毒的啟動。

●禁止直接運行U盤內的程序。可防止病毒采用偽裝成文件夾的形式誘導終端使用者打開。

2、incaseformat病毒是通過復制自身到windows目錄下（C:\windows\tsay.exe和C:\windows\ttry.exe），通過EPP的文件訪問控制功能，禁止在windows目錄下的病毒文件進行創建、修改、復制等操作。

3、禁止tsay.exe、ttry.exe進程運行。

4、注冊表控制措施

● 監測并禁止創建注冊表值

●監測如果已經存在注冊表值、刪除處理。

●最終效果如下

其他注意事項：

●不要隨意下載安裝未知軟件，盡量在官方網站進行下載安裝。

●嚴格規范U盤等移動介質的使用，使用前先進行查殺。

●盡量關閉不必要的共享，或設置共享目錄為只讀模式。

如發現已感染主機，先斷開網絡，使用安全產品進行全盤掃描查殺再嘗試使用數據恢復類軟件。您也可以聯系我們提供專業的現場服務和文件恢復工具。

三、咨詢與服務

您可以通過以下方式聯系我們，獲取關于incaseformat的免費咨詢及支持服務：

1）撥打電話400-6288-116專線

2）關注【聯軟科技】微信公眾號，選擇“獲取服務”-“聯系客服”，進行咨詢。