关于做好“incaseformat”蠕虫病毒安全防范的预警通知

一、基本情况
近日，incaseformat蠕虫病毒在国内外大规模爆发，该恶意程序运行后会批量删除磁盘文件，危害重要数据和个人信息安全。
该蠕虫病毒最早发现于2009年，带有恶意删除文件的功能，病毒作者预设2010年4月1日为首次发作日期，但由于函数参数错误，导致2021年1月13日成为了首次发作日期。按照病毒作者设置的程序逻辑，该病毒下一次发作预计将在本月23日。
二、传播方式
样本会自我复制到%SystemRoot%目录下，并重命名"tsay.exe"和"ttry.exe"，并且会添加注册表项。
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa，同时会增加自启动，自启动程序指向C:windows say.exe。
同时还会复制自身到除系统分区以外所有分区的根目录下，将分区下已存在的文件夹隐藏，并且以这些文件夹的名称命名。这也是传播扩散的主要方式。
三、建议应对措施
建议校园网用户做好如下防护措施：
1.主机排查建议：排查主机Windows目录下是否存在图标为文件夹的 tsay.exe或ttry.exe文件，若存在该文件，及时删除即可，删除前切勿对主机执行重启操作。
2.病毒查杀建议：由于病毒出现年份较早，主流杀毒软件（安恒EDR、天融信EDR、卡巴斯基、360、火绒、腾讯电脑管家等）均可对该病毒进行查杀，用户也可通过以下手工方式进行清理修复：
（1）通过任务管理器结束病毒相关进程（ttry.exe）
（2）删除 Windows 目录下驻留文件 tsay.exe 和ttry.exe 及注册表相关启动项（RunOnce）
（3）恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项
3.个人安全防护建议：
修改系统的开机口令为字母、数字、符号组合的8位以上强密码；办公设备不使用U盘等移动存储工具；若必须使用，建议使用前进行U盘查杀；不随意打开共享文件，并通过正规官方渠道下载软件；关闭文件共享目录或者设置共享目录为只读模式。保持系统以及杀毒软件等及时更新。
4.数据恢复建议：
若数据被删除，使用常见的数据恢复软件（如:Finaldata、recuva、DiskGenius 等）均可恢复被删除数据。注意避免对被删除文件的分区执行写操作，以免覆盖原有数据。