校园网用户:
近期新型网络病毒incaseformat在国内爆发,感染现象为除C盘外,其它盘符全部被格式化,造成数据大量丢失。为降低该病毒对我院的危害,避免在院内传播,现向广大师生进行紧急预警。
一、Incaseformat病毒描述
病毒名称:incaseformat
破坏方式:主机感染病毒后删除所有非系统分区文件。
传播途径:U盘等移动介质
表现形式:感染病毒的主机,Windows目录下生成tsay.exe文件(C:\windows\tsay.exe),文件图标伪装为文件夹。在感染主机重启后运行,对非系统分区下所有文件执行删除操作,同时创建同名的病毒文件incaseformat.log。
二、防范方式
1.排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除,删除前切勿对主机执行重启操作。
2.主流杀毒软件均可对该病毒进行查杀。也可通过以下手工方式进行清理修复:
(1)通过任务管理器结束病毒相关进程(ttry.exe);
(2)删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce);
(3)恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项;
(4)使用U盘等移动介质前先进行病毒查杀。
查杀工具:
(1)64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
(2)32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
三、中毒后的处置
(1)如发现主机Windows目录下存在图标为文件夹的tsay.exe文件,及时删除,删除前切勿对主机执行重启操作。
(2)若主机中非系统分区文件被删除,切勿对被删除文件的分区执行写入操作,以免覆盖原有数据。可采用专业数据恢复软件对被删除数据进行恢复。
网络安全和信息化办公室
2021年1月14日