1 月 13 日晚，360、深信服等安全公司發布了緊急預警，稱監測到蠕蟲病毒 incaseformat 大范圍爆發，已有多家公司發生磁盤數據被刪事件。

該蠕蟲病毒主要通過 U 盤傳播，感染用戶機器后會通過 U 盤自我復制感染到其他電腦。病毒啟動后會自動復制到 C：windowstsay.exe，待計算機重新啟動后在開機 20s 內刪除用戶數據。

據安全監測機構預計，incaseformat 蠕蟲病毒可能會在 1 月 23 日再次爆發，建議用戶提前做好預防數據丟失的防范工作。

蠕蟲病毒大范圍爆發，開機 20s 刪除用戶文件

安全監測機構分析發現，該蠕蟲病毒是通過 DeleteFileA 和 RemoveDirectory 代碼對計算機內的文件進行了刪除。該病毒還能自動復制到 C:WINDOWStsay.exe 創建啟動項后退出，計算機再次啟動后會在開機 20s 開始刪除用戶文件。

據了解，這已經不是該蠕蟲病毒第一次爆發了，早在 2014 年就發生過類似事件。

目前，國內已有多個地區的不同行業用戶受到該蠕蟲病毒影響，但暫時還沒發現該病毒具有何種傳播范圍的針對性。

病毒只在 Windows 目錄下運行

據深信服安全研究團隊介紹，該蠕蟲病毒只有在 Windows 目錄下執行時，才會觸發刪除文件行為。在非 Windows 目錄下執行時，病毒會自動復制到系統盤的 Windows 目錄下，創建 RunOnce 注冊表值設置開機自啟，并將自己偽裝成正常文件。

當蠕蟲病毒在 Windows 目錄下執行時，會再次在同目錄下自復制，并修改如下注冊表項調整隱藏文件：

遍歷刪除系統盤外所有的文件后，該蠕蟲病毒會在根目錄留下名為 incaseformat.log 的空文件：

專家發布安全建議：

incaseformat 蠕蟲病毒大范圍爆發后，多家安全機構已經緊急發布了病毒掃描版本支持檢測計算機的病毒。

安全專家建議，如果計算機內已有病毒感染，應立即斷開網絡，并使用殺毒軟件進行全面查殺，可嘗試使用數據恢復軟件進行數據恢復。

安全建議：

• 不要打開未知來源文件；
• 不要下載安裝非官方網站的軟件；
• 不要選擇“隱藏已知文件的擴展名”；
• 禁止 U 盤自動運行；
• 使用高強度密碼并定期更換；
• 注意備份重要文件。

技術編輯：芒果果 | 發自：思否編輯部