教育数字化知识图谱

近期发现一种名为 incaseformat 的蠕虫病毒在国内爆发，该蠕虫病毒主要针对 Windows 系统，执行后会自复制到系统盘 Windows 目录下，并创建注册表自启动，一旦重启主机，使得病毒母体从 Windows 目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对系统造成巨大损失。

一、影响范围

涉及政府、医疗、教育、运营商等多个行业，目前多数感染主机为财务管 理相关重要应用系统。

二、安全建议

（ 1 ）防御及恢复措施 1 、该病毒只有在 Windows 目录下执行时会触发删除文件行为，重启会导致 病毒在 Windows 目录下自启动，因此，在未做好安全防护及病毒查杀工作前请勿 重启主机。 2 、不要随意下载安装未知软件，尽量在官方网站进行下载安装。 3 、尽量关闭不必要的共享，或设置共享目录为只读模式。 4 、严格规范 U 盘等移动介质的使用，使用前先进行查杀。 5 、如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

（ 2 ）自查及清除措施 1 、检查任务管理器，查看是否有ttry.exe 进程，如果有，就结束掉进程。 2 、文件夹选项勾选显示扩展名，显示隐藏的文件、文件夹或驱动器。 3 、查看C:\Windows 目录下，看tsay.exe 和ttry.exe，如果有就删除。 4 、Win+R 执行regedit 打开注册表，查看是否HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下是否有msfsa 键的 项，如果有就删除。 5 、删除各驱动器下的incaseformat.log。 6 、使用各类主流安全产品进行全盘查杀（火绒、360等）。