今日，深信服安全团队监测到一种名為(wèi)incaseformat的蠕虫病毒在國(guó)内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用(yòng)户重启主机，使得病毒母體(tǐ)从Windows目录执行，病毒进程将会遍历除系统盘外的所有(yǒu)磁盘文(wén)件进行删除，对用(yòng)户造成不可(kě)挽回的损失。

目前，已发现國(guó)内多(duō)个區(qū)域不同行业用(yòng)户遭到感染，病毒传播范围暂未见明显的针对性。

经分(fēn)析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文(wén)件行為(wèi)，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有(yǒu)伪装正常文(wén)件夹行為(wèi)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文(wén)件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有(yǒu)文(wén)件，在根目录留下名為(wèi)incaseformat.log的空文(wén)件：

由于该病毒只有(yǒu)在Windows目录下执行时会触发删除文(wén)件行為(wèi)，重启会导致病毒在Windows目录下自启动，因此，深信服安全团队建议广大用(yòng)户在未做好安全防护及病毒查杀工作前请勿重启主机：

1、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

2、尽量关闭不必要的共享，或设置共享目录為(wèi)只读模式；深信服EDR用(yòng)户可(kě)使用(yòng)微隔离功能(néng)封堵共享端口；

3、严格规范U盘等移动介质的使用(yòng)，使用(yòng)前先进行查杀；

4、如发现已感染主机，先断开网络，使用(yòng)安全产品进行全盘扫描查杀再尝试使用(yòng)数据恢复类软件。深信服為(wèi)广大用(yòng)户提供免费查杀工具，可(kě)下载如下工具，进行检测查杀：