1月13日，一款“古老”的網絡蠕蟲病毒Incaseformat引發了全國范圍內多起磁盤數據被格式化，造成了數據大量丟失。網御星云專家團隊第一時間進行專項分析，在準確掌握情況之后，同步推出了應急處置方案。

        重點信息

        病毒名稱：

        incaseformat、Worm.Win32.Autorun

        傳播途徑：移動介質

        危害程度：非系統分區數據刪除

        觸發條件：隨電腦開機啟動

        威脅預測：23日會再次爆發

        處置方案：進程抑制、文件刪除

        威脅“緣由”

        該病毒最早的出現時間約在2009年，由于病毒編碼中時間換算錯誤，導致了該病毒潛藏到10余年后才觸發后續行為，錯誤的執行了刪除文件的操作，即：

        1.進行自復制(C:\windows\tsay.exe、C:\Windows\ttry.exe)

        2.設置注冊表自啟動(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)

        3.隱藏受保護的文件

        4.觸發執行后續的文件刪除動作

        防護建議

        1.建議檢查并確保共享目錄處于關閉狀態、主機防火墻處于開啟狀態，提前防患

        2.病毒主要是通過U盤傳播，建議暫停使用U 盤等移動存儲工具

        3.不打開未知文件、不點擊未知鏈接

        4.威脅清除前不要重啟電腦

        5.已中招的電腦，待專殺完成后，建議請專業團隊恢復數據

        網御星云處置方案

        未安裝網御EDR用戶

        1.排查并刪除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

        2.排查并刪除注冊表“msfsa”項

        32位系統：

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

        64位系統：

        “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”

        已安裝網御EDR用戶

        1.開啟關鍵路徑信息變動采集并添加威脅路徑信息，持續監控預警

        2.開啟注冊表信息變動采集并添加威脅路徑監控信息，持續監控預警

        3.添加進程黑名單，抑制病毒運行

        4.推送響應腳本，全網清除病毒威脅

        5.回溯威脅入口，為后續安全整改提供支撐

        網御終端高級威脅檢測與響應系統(簡稱網御EDR)，發現、分析、處置安全威脅的同時提供完善的可視化回溯能力，協助管理人員定位威脅源頭。

        溫馨提示

        “關于incaseformat清除腳本”獲取方式，請聯系：

        1.網御星云當地商務、技術人員

        2.撥打網御星云熱線

        網御星云公司將持續關注此病毒后續動態并及時提供解決方案，敬請期待!

《電鰻快報》