一、病毒预警提示
近日,在部分单位内网检测到incaseformat病毒样本,该病毒会格式化系统盘外的分区及数据,通过U盘感染是主要传播途径,请大家提高警惕,采取升级病毒库、统一查杀等措施,做好预防、预警及应急处置工作。及时升级杀毒软件病毒库。
二、“incaseformat”病毒相关信息
【恶意程序家族】:incaseformat
【关键字】:#incaseformat.txt #tsay.exe #ttry.exe
【家族详情】:
病毒类型:蠕虫
传播方式: U盘隐藏正常文件夹,并替换为同名样本母体
行为特征:
1. 删除C盘以外的盘符数据,释放文件incaseformat.txt
2. 拷贝副本至C:\windows\ttry.exe、C:\windows\tsay.exe
3. 注册表创建启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
三、处置建议
1. 使用U盘前使用360天擎终端安全管理系统(下文称:360天擎版)进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网。
2. 360天擎版qowl引擎支持检出,正常情况实时防护、病毒扫描都可以检出。建议将病毒库更新到最新。
3. 如果不慎感染用户,已经安装360天擎用户检查一下信任区,查看是否有被信任的病毒文件,清理信任区之后进行全盘扫描。尚未安装的天擎的用户,可以安装天擎,并对系统进行全盘扫描,并清除病毒。完成以上操作后尝试使用第三方数据恢复工具恢复文件;
现代教育技术中心
2021年1月14日
