风险提示丨incaseformat病毒来袭，内附应急方案

注意：incaseformat病毒来袭！病毒感染用户机器后会通过U盘等移动存储介质自我复制感染到其他电脑。被感染的电脑除C盘之外的其他磁盘文件都会被删除，且磁盘中可能被创建“incaseformat”文本文档，目前全国大范围用户遭到感染。

incaseformat病毒具备定时删除文件的能力，会在特定时间定时发作。大部分的杀毒软件产品都早已支持此病毒的拦截和查杀，但可能因故障环境中都存在病毒文件被加入到信任区，导致病毒文件不能被及时查杀。

经过查看故障环境，确认问题原因是电脑中病毒后，病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出，等待重启运行，下次开机启动后约20s就开始删除行为。

病毒名称： incaseformat

针对系统：Windows操作系统

传播途径： U盘 、共享文件夹、写入开机注册表

危害：目前已知，创建伪文件快捷方式（.exe格式），图标文件夹样式，重启后会在非系统盘留下一个incaseformat.txt，并删除其他所有文件！

病毒产生的相关目录或注册表：

# C盘系统目录下

# 相关文件及路径

C:\WINDOWS\tsay.exe

C:\windows\system32\ttry.exe

incaseformat.log

incaseformat.txt

# 注册表键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfs

# 任务管理器进程

手动查杀：

1、结束进程 tsay.exe ttry.exe

2、删除病毒文件：C:\\windows\\tsay.exe C:\\windows\\ttry.exe

3、删除病毒产生的其他文件 磁盘根目录 incaseformat.log

4、 恢复系统设置：“文件夹选项”->“隐藏已知文件类型的扩展名”去掉选项。 “文件夹选项”->“显示隐藏的文件、文件夹和驱动” 选中

排查思路：若未出现感染现象（其他磁盘文件还未被删除）

1、勿随意重启主机，安装杀毒软件、病毒库更新到最新，进行全盘查杀，并开启实时监控等防护功能；

2、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

3、尽量关闭不必要的共享，或设置共享目录为只读模式；关闭涉及到的电脑本机、服务器本机、网络设备、安全设备的135-139、445等高危端口; 

4、严格规范U盘等移动介质的使用，使用前先进行查杀；

5、重要数据做好备份；

解决方法：若已出现感染现象（其他磁盘文件已被删除）

1、安装杀毒软件、病毒库更新到最新，进行全盘查杀，清除病毒残留；

3、尝试使用数据恢复类工具进行恢复，恢复前尽量不要占用被删文件磁盘的空间，由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据，可能仍有一定几率进行恢复；

其他三方相关资讯或工具参考：

# 深信服资讯

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

# 360安全

https://bbs.360.cn/forum.php?mod=viewthread&tid=15952432