關于incaseformat 你最關心的8個問題

火絨安全實驗室

火絨安全企業版

火絨是一家專注、純粹的安全公司，緻力于在終端安全領域，為用戶提供專業的産品和專注的服務。火絨安全核心技術團隊深耕終端和反病毒領域長達18年，并持續對外賦能反病毒引擎等相關自主研發技術。

1月13日，“incasepormat”病毒因其破壞性以及集中爆發的特性引起了大量用戶的恐慌。經火絨工程師确認，火絨默認設置即可防禦并查殺該病毒，大家無需擔心。我們針對用戶關心的病毒防禦、中毒後如何處理，病毒的詳細情況三類相關問題總結如下，以便大家更客觀的了解此次事件以及該病毒：

Q如何防禦該病毒？

A:火絨個人和企業用戶無需升級，即可攔截和查殺此病毒。（火絨的檢測名稱為：HEUR:Worm/Autorun.o）用戶在病毒沒有删除用戶文件前，可以使用火絨查殺功能處理此病毒，不會對用戶文件有任何傷害。同時建議用戶開啟火絨【免疫防護】功能，可确保即使信任該病毒，火絨仍會對其進行攔截。位置：防護中心>系統防護>系統加固>智能防護>【啟用系統免疫】

Q已經中毒如何查殺？不知道怎麼清空信任區怎麼辦？

A:1）個人用戶：将信任區清空後，全盤掃描查殺。并且排查可能帶毒的可移動設備。2）企業用戶：1.檢查火絨中心、終端信任區是否有病毒被用戶信任的情況，并清空信任區。2.在火絨中心對所有終端下發全盤查殺，并且排查可能帶毒的可移動設備。3.查殺後最好通過火絨中心/終端日志檢查此次查殺的結果，以免有某個終端存在漏殺的情況。注意：如果不知道如何清空信任區，也無需擔心，确保開啟【免疫防護】，火絨即可在用戶信任該病毒的情況下對其進行攔截。

Q被删除的文件還能恢複嗎？

A:因為病毒删除文件時沒有對文件做覆寫或破壞操作，恢複被删除文件的可能性很大，用戶可以聯系專業的數據恢複公司進行恢複。注意：在數據重要的情況下不要自行操作。

Q如何檢測自己電腦裡是否有 incaseformat病毒？

A:可以使用如下手工或腳本方法檢測：

1） 手工檢測方法

确認系統是否存在以下文件，存在則有incaseformat病毒。

C:\Windows\tsay.exe

C:\Windows\ttry.exe

2）腳本檢測方法

将以下腳本内容複制粘貼到任意擴展名為.bat的批處理文件中，雙擊執行，即可輸出檢測結果。（注意:bat編碼集需要選擇為ANSI）

@echo off set tsay_path=C:\Windows\tsay.exe set ttry_path=C:\Windows\ttry.exe if exist %tsay_path% goto find if exist %ttry_path% goto find echo 本機沒有找到【incaseformat】病毒，安裝安全軟件，排查信任區并确認實時監控是否開啟 echo. pause exit :find echo 本機存在【incaseformat】病毒，請聯系管理員處理 echo. pause exit

Qincaseformat病毒是新病毒嗎？是勒索病毒嗎？

A:“incaseformat病毒”并不是2021年新爆發的病毒，而是一個存在很久的老病毒，火絨的報毒類型為蠕蟲。

Q病毒是如何傳播的？

A:該病毒主要傳播方式為U盤等移動存儲器設備。經火絨工程師分析确認，該病毒不會通過U盤以外的網絡共享、漏洞等常見蠕蟲傳播方式傳播。

Q病毒是否有潛伏期？為什麼會在1月13日席卷網絡？

A:有潛伏期，很多用戶都是很早就感染了該病毒。該病毒内設置了定時邏輯，因為BUG原因導緻在2021年1月13日才發作。

Q下次發作（删除文件）是什麼時候？

A:距離現在最近的一次删除文件時間為1月23日上午6點左右，再下一次是2月4日上午8點左右。由于病毒所使用的單自然日所對應的毫秒數和正常值相比偏大（病毒所使用的毫秒數換算後一天大概為26個小時），所以病毒觸發删除邏輯的時間可能橫跨兩個自然日，如：1月13日上午9點左右開始觸發直到1月14日上午11點左右結束、1月23日上午6點左右開始觸發直到1月24日上午8點左右結束等等。

補充材料：《蠕蟲病毒“incaseformat”23日還會發作 火絨無需升級即可查殺》

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!