1月13日以來, “incaseformat”蠕蟲病毒因其破坏性以及集中爆发的特性引起了大量亞洲用户的恐慌。感染病例最初在亞洲許多地區發現,現在在全球範圍內可見,因此,我們有理由怕判斷它將有可能導致大規模爆發。因此,請重視該病毒並詳細閱讀下文。
Incaseformat是基於木馬的應用程式,它不僅可以接管目標電腦並破壞存儲在其上的所有軟體、檔案和資料。作為典型的特洛伊木馬,還會竊取電腦個人信息或在受感染的PC內註入外部惡意程式,例如勒索軟體或間諜軟體。
它一般表現為,該病毒會自我複製到系統磁碟的Windows目錄中,並創建一個註冊編輯程式項以自動啟動。一旦用戶重新啟動電腦,該病毒便會從Windows目錄開始執行,它將通過除系統磁碟之外的所有磁碟傳播,刪除電腦上所有檔案,對用戶造成不可彌補的損失。它可能會在系統分區上留下一個名為“ incaseformat.log”或“ incaseformat.txt”的文本檔。可謂是囂張至極。
目前,incaseformat病毒已經攻擊了不同行業和世界多個地區的用戶。目前無法根據當前的傳播方式確定任何預期目標。
危害等级:高危,可导致用户数据丢失!
正如我們所說,該病毒屬於特洛伊木馬,因此應該通過多種偽裝的網絡內容秘密傳播。在大多數情況下,Incaseformat的受害者並不知道他們在計算機中釋放的是危險的特洛伊木馬病毒。此外,通常沒有明顯的感染跡象,至少直到惡意軟體複製完成其惡意程式後才可見。因此,受害者通常在相當長的一段時間內都不知道病毒對其電腦的攻擊。
許多人認為擁有最新的防病毒應用程式是保護計算機免受惡意軟件攻擊的全部所需。但是,情況並非總是如此。
確實,有一些高質量的防病毒程式可以很好地檢測和清除特洛伊木馬的威脅,但是它們僅對已經在其病毒數據庫中列出的那些威脅有效。不過,Incaseformat是最近才被感染的病毒,其病毒定義可能尚未包含在其他一些可靠的防病毒應用程序的數據庫中。
因此,即使您擁有具有最新更新的高質量保護程序,它也仍然可能無法找到並刪除它。
如何在系統中識別Incaseformat(檢測電腦中有Incaseformat病毒)?
可悲的是,沒有特定的方法可以判斷出像Incaseformat這樣的木馬是否感染了您的計算機。但是,根據惡意軟體在計算機內部的運行方式,有些跡象可能會警告您系統上的某些錯誤。例如:
1、您可能會開始遇到系統發行者,軟件錯誤,突然崩潰,明顯的速度下降和普遍不穩定的情況,這些危險可能會成為危險信號。
2、Incaseformat之類的感染也可能會在計算機內部插入其他病毒,例如Ransomware,如果發生這種情況,您會注意到您的檔案突然變得不可訪問。勒索贖金的通知也可能會出現在您的屏幕上。
3、如果您的某些檔案已被刪除,或者您的應用程式未經您的許可而修改了設定,這也可能意味著感染了特洛伊木馬。
4、您可以打開系統碟,确认系统是否存在C:\Windows\tsay.exe或C:\Windows\ttry.exe,存在则有incaseformat病毒。
5、另外,該蠕蟲病毒在非Windows目錄下執行時,並不會刪除檔案,但它會將自身複製到系統磁碟區的Windows目錄下,創建RunOnce註冊編輯值設定開機自啟,且將其偽裝成正常資料夾:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe。
當蠕蟲病毒在Windows目錄下執行時,會再次在同目錄下自複制,並修改如下登錄編輯項調整隱藏檔案:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終刪除除系統碟意外的所有檔案,在根目錄留下名為incaseformat.log的空白檔案。
其他問題
incaseformat病毒是新病毒吗?是勒索病毒吗?
“incaseformat病毒”并不是2021年新爆发的病毒,而是一个存在很久的老病毒,报毒类型为蠕虫。
病毒是如何传播的?
该病毒主要传播方式为U盘等移动存储器设备。该病毒不会通过U盘以外的网络共享、漏洞等常见蠕虫传播方式传播。
病毒是否有潜伏期?为什么会在1月13日席卷网络?
這個病毒有潜伏期,很多用户都是很早就感染了该病毒。该病毒内设置了定时逻辑,因为Windows系統BUG原因导致在2021年1月13日才发作。
下次发作(删除電腦檔案)是什么时候?
由于病毒所使用的单自然日所对应的毫秒数和正常值相比偏大(病毒所使用的毫秒数换算后一天大概为26个小时),所以病毒触发删除逻辑的时间可能横跨两个自然日,如:1月13日上午9点左右开始触发直到1月14日上午11点左右结束、1月23日上午6点左右开始触发直到1月24日上午8点左右结束等等。因此,我們判斷再下一次是2月4日上午8点左右。
解決方案
重新引導或重新啟動系統將導致該病毒在Windows目錄中自動啟動,並且僅在Windows目錄中執行該蠕蟲時才會觸發文件刪除行為。因此,我們建議您不要重新啟動電腦:並按照以下方法處理:
1.請確保從官方或受信任的網站下載或安裝軟體。請勿下載或安裝任何未知軟體。
2.請從潛在受感染的系統中禁用任何不必要的檔案共享,或將共享目錄設置為唯讀模式。Sangfor Endpoint Secure用戶可以使用微隔離功能來阻止用於文件共享的端口。
3.嚴格規範可移動媒體(如USB隨身碟、SD卡)的使用,並在使用前進行病毒掃描。
4.如果找到已被感染的電腦,請立即斷開網絡連接,使用端點保護或防病毒軟體執行全面掃描並殺死找到的所有惡意檔案。然後使用檔案救援軟體掃描救援丟失的檔案。Bitwar為用戶提供免費的檔案救援軟體Bitwar Data Recovery用於備份或救援您電腦上重要的檔案。
救援丟失檔案
以下是使用Bitwar Data Recovery救援丟失檔案的步驟:
步驟1:啟動安裝好的Bitwar Data Recovery,在嚮導模式選擇要救援檔案的分區或磁碟機,然後點擊下一步。
步驟2:選擇掃描模式和要救援的檔案類型,然後單擊掃描按鈕執行掃描。
步驟3:掃描結束後,找到要救援的重要檔案預覽,然後選擇它們,點擊“復原”按鈕將其復原到安全的分區或存儲裝置。
注意不要將檔案直接恢復到檔案丟失的原始分區或其他需要救援檔案的分區。
Incaseformat病毒清除
像Incaseformat這樣的特洛伊木馬很難處理,但是嘗試按照以下快速說明將它們刪除不會有什麼害處:
1、點擊Windows的“開始”按鈕。
2、從菜單中選擇“控制面板”,然後導航到“程式集”。
3、在“程序和功能”中選擇“解除安裝程式”。
4、搜索Incaseformat,如果檢測到,請卸載它。
5、搜索其他不熟悉或外觀可疑的程式,並將其卸載。
注意!請記住,即使您從“控制面板”中檢測到並卸載了Incaseformat,也可能無法完全擺脫特洛伊木馬。你需要做的是更新電腦上最新的防病毒軟體和防火墻,隨時留意關鍵資料夾,一有情況,即可按照上述方式刪除。
假如您刪錯檔案,或者被病毒刪除了檔案,請立即啟動Bitwar Data Recovery救援。
