1月13日,一款名為incaseformat的變種病毒在網絡上開始蔓延,該電腦病毒表現出來的直接症狀為将電腦C盤外其餘盤中的所有文件都會給徹底清空删除,桌面上的文件圖标變為無法打開的快捷方式。
根據數據恢複同行之間的交流可知,在1月13日一天之内,全國範圍内多地均有出現,且中招的數量非常龐大,每個做數據恢複的公司基本都會遇到幾十例以上。
經過我們西安古誠數據恢複中心與其他專業人員對該病毒進行分析探究後,得出部分結論,現分享給大家:
1、病毒簡介
病毒名稱:incaseformat.log
病毒屬性:蠕蟲病毒
危害等級:高危(嚴重影響用戶數據安全)
傳播範圍:全國各省多地均發現有中毒案例,範圍廣,爆發猛(一個電腦中招,關聯電腦均會中毒)
系統相關:根據目前可接觸到的大部分案例得知,中毒的電腦系統多為Win7系統,暫未發現Win10系統中毒,推測該病毒可能是通過Win7系統中的某個GHOST漏洞入侵
2、病毒執行過程該病毒在通過系統漏洞入侵電腦系統後,并不會立即執行删除文件操作,首先是将自身複制到windows目錄下,并自動創建RunOnce注冊表值,設置自動開機,且僞裝成系統文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa,
值為C:\windows\tsay.exe
然後,該病毒在Windows目錄下,開始執行,将自身再次在注冊表中進行注冊HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0并隐藏自身屬性。
最終,該病毒開始删除系統盤外的所有文件,在根目錄中留下incaseformat.log文件。
3、防護方案
A、将重要資料多進行備份,拷貝到安全的移動硬盤或者U盤、雲盤當中,斷網保存;
B、不要下載來源不明的未知軟件,且關閉電腦共享模式,隔離共享端口,避免批量出現;
C、安裝殺毒軟件(經測試江民殺毒軟件可有效防範,其餘殺毒軟件在升級後應該也可有效防範);
D、可嘗試方案(暫未确定),将電腦系統升級為Windows10系統。
4、中毒後的解決方案如果電腦已經中毒,先判斷電腦裡面是否有重要資料,如有重要資料,請立即斷電關機,不要進行任何再寫入操作,避免重要資料被新寫入文件覆蓋而無法恢複;如無重要資料,可安裝殺毒軟件進行殺毒後再進行操作;
5、中毒後的數據恢複
根據西安古誠數據恢複中心與國内頂尖數據恢複中心交流後,根據目前的情況以及病毒破壞數據的方式,得出結論為:
機械硬盤在中了incaseformat這款病毒丢失數據後,大部分都可以恢複出來;固态硬盤因其存儲結構和原理的特殊性,在中incaseformat毒後丢失的内容依目前的技術暫時無法恢複出來。
采用恢複軟件恢複情況:恢複方式為掃描式恢複,恢複文件完整度中等,恢複後的文件多為按類型分布,大都無法還原原來的目錄結構,且有部分文件會無法正常打開使用;
專業恢複公司恢複情況:恢複方式為用專業設備提取底層數據,80%以上的均可還原原來的目錄結構,恢複出來的文件完整度在95%以上,95%以上的文件均可正常打開使用;
西安古誠數據恢複中心,是國内為數不多的專業從事數據恢複公司之一,希望能夠在數據恢複領域與您一起攜手同行,為重要數據保駕護航!
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!