打开微信扫一扫
各位老师:
接四川省网络安全应急响应平台通知:近日,四川省网络威胁数据联盟监测到一种名为incaseformat 的病毒,该蠕虫病毒执行后会自复制到系统盘Windows 目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows 目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2021年2月4日。
目前我中心已经第一时间加强了相关终端的防护策略,各位老师在使用网络过程中可按照以下建议做好防护。
处置建议
◆若未出现感染现象建议(其他磁盘文件还未被删除):
1 、勿随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;
2 、不要随意下载安装未知软件,尽量在官方网站进行下载安装;
3 、尽量关闭不必要的共享,或设置共享目录为只读模式;
4 、严格规范U 盘等移动介质的使用,使用前先进行查杀;
5 、重要数据做好备份;
◆若已出现感染现象建议(其他磁盘文件已被删除):
1 、使用安全软件进行全盘查杀,清除病毒残留;
2 、可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;切记对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata 、recuva 、DiskGenius 等)即可恢复被删除数据;
3. 使用R-Studio 恢复文件:启动R-Studio ,选择要恢复的磁盘,右键点击,打开驱动器文件,右边是可恢复的一些文件数据,勾选要恢复的文件恢复即可。
查杀工具
我中心为广大老师提供免费查杀工具,可下载进行检测查杀:
深信服EDR:
64 位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32 位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
网信中心
2021.1.19