近日，广东省网络威胁数据联盟监测到一种名为incaseformat的病毒，全国各个区域都出现了被incaseformat病毒删除文件的用户。

一、病毒分析

    从搜索引擎结果来看，该病毒最早出现时间为 2009 年，主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun，从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。病毒文件运行后，首先复制自身到 Windows 目录下（C:\windows\tsay.exe），文件图标伪装为文件夹。

经调查，该蠕虫正常情况下表现为文件夹蠕虫，集中爆发是由于病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，爆发该蠕虫事件的用户感染时间应该早于2021年1月13号，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2021年2月4日。

该蠕虫病毒运行后会检测自身执行路径，如在windows目录下则会将其他磁盘的文件进行遍历删除，并留下一个名为incaseformat.log的空文件：

若当前执行路径不在windows目录，则自复制在系统盘的windows目录下，并创建RunOnce注册表值设置开机自启: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.ex

   病毒文件将在主机重启后运行，并开始遍历所有非系统分区下目录并设置为隐藏，同时创建同名的病毒文件。

  此外还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

二、处置建议

若未出现感染现象建议（其他磁盘文件还未被删除）：

1、勿随意重启主机，先使用安全软件进行全盘查杀，并开启实时监控等防护功能；

2、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

3、尽量关闭不必要的共享，或设置共享目录为只读模式；

4、严格规范U盘等移动介质的使用，使用前先进行查杀；

5、重要数据做好备份；

若已出现感染现象建议（其他磁盘文件已被删除）：

1、使用安全软件进行全盘查杀，清除病毒残留；

2、可尝试使用数据恢复类工具进行恢复，恢复前尽量不要占用被删文件磁盘的空间，由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据，可能仍有一定几率进行恢复；

  切记对被删除文件的分区执行写操作，以免覆盖原有数据，然后使用常见的数据恢复软件（如：Finaldata、recuva、DiskGenius 等）即可恢复被删除数据; 

3. 使用R-Studio恢复文件

启动R-Studio，选择要恢复的磁盘，右键点击，打开驱动器文件，右边是可恢复的一些文件数据，勾选要恢复的文件恢复即可。

病毒IOCs(MD5):

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

三、查杀工具

广东省网络威胁数据联盟为广大用户提供免费查杀工具，可下载进行检测查杀（排名不分前后）：

深信服EDR:

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

绿盟科技EDR:

https://cd001.www.duba.net/duba/install/packages/ever/kinstnui_150_12.exe

瑞星EDR:

https://120.236.114.197:16143/index.php/instal/downloadPackage?filename=windows_1610554428.exe

安天智甲终端防御系统（IEP）：

http://www.antiy.com/download/IEP/setup.zip