近日,广东省网络威胁数据联盟监测到一种名为incaseformat的蠕虫病毒在国内多个区域传播,该蠕虫病毒运行后会检测自身执行路径,复制到系统盘Windows目录下,并将其他磁盘的文件进行遍历删除,对用户造成不可挽回的损失。
据分析,该蠕虫病毒在Windows目录下执行时,会修改相关的注册表项,最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件。此外,该蠕虫病毒文件会在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件;还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名。
请各位师生不要随意下载安装未知软件;尽量关闭不必要的共享,或设置共享目录为只读模式;严格规范U盘等移动介质的使用,使用前先进行查杀;及时备份重要数据。
处置建议(若已出现感染现象):
1、勿随意重启主机,使用安全软件进行全盘查杀,清除病毒残留,并开启实时监控等防护功能;
2、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;
切记勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius 等)恢复被删除数据。