校园网用户：    

近期新型网络病毒incaseformat在国内爆发，感染现象为除C盘外，其它盘符全部被格式化，造成数据大量丢失。为降低该病毒对我院的危害，避免在院内传播，现向广大师生进行紧急预警。    

一、Incaseformat病毒描述    

病毒名称：incaseformat    

破坏方式：主机感染病毒后删除所有非系统分区文件。    

传播途径：U盘等移动介质    

表现形式：感染病毒的主机，Windows目录下生成tsay.exe文件（C:\windows\tsay.exe），文件图标伪装为文件夹。在感染主机重启后运行，对非系统分区下所有文件执行删除操作，同时创建同名的病毒文件incaseformat.log。    

二、防范方式    

1.排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件，若存在该文件，及时删除，删除前切勿对主机执行重启操作。    

2.主流杀毒软件均可对该病毒进行查杀。也可通过以下手工方式进行清理修复：    

(1)通过任务管理器结束病毒相关进程（ttry.exe）；    

(2)删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项（RunOnce）；    

(3)恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项；    

(4)使用U盘等移动介质前先进行病毒查杀。    

查杀工具：     

（1）64位系统下载链接：     

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z     

（2）32位系统下载链接：     

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z     

三、中毒后的处置    

(1)如发现主机Windows目录下存在图标为文件夹的tsay.exe文件，及时删除，删除前切勿对主机执行重启操作。    

(2)若主机中非系统分区文件被删除，切勿对被删除文件的分区执行写入操作，以免覆盖原有数据。可采用专业数据恢复软件对被删除数据进行恢复。    

网络安全和信息化办公室    

2021年1月14日