摘要:管理员注意,incaseformat蠕虫病毒来袭!请尽快安装终端安全管理软件,进行终端防护及时止损。    事件背景:

　　近期,国内多家用户反馈办公设备被incaseformat 蠕虫病毒感染,机器中除了系统盘以外,其他文件全部被删除。

　　Incaseformat病毒本身是一个老病毒,其通过U盘及共享文件夹等进行传播,该病毒会循环遍历删除系统盘外其他磁盘的文件,并复制病毒到当前文件夹相同的位置,由于其预制的触发时间到期,病毒脱离潜伏,开始爆发。    运行分析:

　　Incaseformat病毒通过U盘或共享文件夹等进行传播后,会将自身设置成文件夹图标,并隐藏exe后缀名。通过诱导用户点击或双击打开与伪装文件夹同名的隐藏文件夹,复制病毒到windows目录。incaseformat 蠕虫病毒第一次运行后,不会有恶意行为,为防止用户发现异常,该病毒首先会判断是否在系统盘目录下和自身文件名,随后进行自复制和设置注册表自启动,启动后判断自身文件路径是否为 "C:windowstsay.exe" 或者 "C:windowsttry.exe"。待重启计算机后蠕虫病毒特定时间条件下开始下一步运行,其会循环遍历删除系统盘以外的所有文件,并在根路径下留下incaseformat.log文件。

　　在大数据时代下,企业拥有一套应对风险、威胁以及漏洞的定期管理防护体系,在安全事件响应的生命周期中显得尤其重要。有效的安全应急响应体系使企业在面对安全事件时,能够及时启动应对措施。

　　北信源新一代终端安全管理体系,从内网安全、数据安全、边界安全、防病毒等方向对Windows终端、国产终端、移动终端、虚拟化终端提供全方位、立体化的安全防护体系,目前已广泛应用于政府、军队军工、公安、金融、能源等重要单位,成功部署数千万终端。

　　解决方案:

　　方案1:使用北信源终端安全管理系统,禁用tsay.exe、 ttry.exe进程,防止病毒运行,并查找曾运行的进程,发现并处理感染源。

　　方案2:使用北信源安全U盘,禁用网络共享,从根本上防止病毒传播。北信源安全U盘具备特有的私有化文件系统及安全传输机制,可有效防止病毒自动复制、自动运行,从原理上控制Incaseformat变种病毒。

　　方案3:使用北信源杀毒软件防范病毒运行:

　　病毒文件运行时杀毒软件会弹出提示框,弹出提示时立即删除。    病毒运行时,杀毒软件会提示病毒正在修改注册表,立即阻止。    此外,对出现病毒现象的主机应直接全盘查杀,由于重启会触发病毒的全盘删除机制,因此在确认清除病毒前请勿重启计算机。

　　安全建议:

　　办公设备不使用U盘等移动存储介质,在必要情况下,建议使用移动存储介质管理产品进行防护控制。不随便打开或拷贝共享文件,下载邮件或软件时需留意文件后缀是否是.exe以及文件夹图标样式。一旦发现电脑异常(如:发现文件夹图标文件后缀为.exe或者在磁盘根目录发现创建“incaseformat.txt”文件),请勿重启电脑,可使用北信源防病毒执行全盘查杀清除病毒。若已经重启电脑导致除C盘外其他盘文件被删除,可重新安装北信源杀毒进行全盘扫描,并在杀毒后尝试利用数据恢复软件恢复数据,或请专业数据恢复公司进行数据恢复。

　　北信源,为您的信息安全保驾护航!