2021年1月13日一种名为incaseformat的#蠕虫病毒#在国内爆发。中毒症状为在磁盘创建“incaseformat.txt”的文本文档,并且C盘之外的其他文件都会被删除。C盘以外的硬盘往往存放的都是工作的重要文件,文件删除后将影响工作的正常开展,损失难以估计,这个病毒破坏力是非常惊人的。
据安全专家分析,该病毒至少是个2014年的老病毒,是一种带有“定时器”逻辑的蠕虫病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑。
该病毒设定的删除日期不止1月13日,距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。建议提前做好全盘扫描查杀工作。
一、如何预防incaseformat蠕虫病毒:
1.重要文件使用安全U盘做好备份;
2.安装正规杀毒软件,并将软件和病毒库升级到最新版;
3.不要随意下载安装未知软件,尽量在官方网站进行下载安装;
4. 尽量关闭不必要的共享;
5. 严格规范U盘等移动介质的使用,使用前先进行查杀;
6.如发现已感染主机,先断开网络,使用杀毒软件进行全盘扫描查杀再尝试使用数据恢复类软件。
二、incaseformat蠕虫病毒怎么手动查杀
如果我们手上没有合适的杀毒软件,我们可以采取以下方法:
1.同时按Ctrl+Alt+Del启动任务管理器,查看是否有“ttry.exe”进程。若存在“ttry.exe”进程说明已经感染incaseformat蠕虫病毒。
2.查看是否存在"C:\windows\system32\ttry.exe"或者"C:\windows\ttry.exe"、"C:\windows\tsay.exe"文件。若存在这个文件说明已经感染incaseformat蠕虫病毒。在这里需要设置显示隐藏文件才能看到。
操作步骤为:在文件夹窗口中打开“工具“菜单-”文件夹选项“菜单-“查看”选项卡下,取消勾选“隐藏受保护的操作系统文件(推荐)“, 并选择“显示隐藏的文件、文件夹和驱动器“。
3.硬盘目录下(如d:/ 、 e:/ 、f:/ 、……)是否存在“incaseformat.txt”文件,若存在这个文件说明已经感染incaseformat蠕虫病毒。
4.当你电脑感染incaseformat蠕虫病毒时请记住不要重启电脑:,如果重启电脑后,那磁盘内的所有数据可能会自动删除。
5.专业人士可以结束ttry.exe进程,手工删除ttry.exe文件,“incaseformat.txt"等方法解决。非专业人士建议安装杀毒软件全面查杀。 |