政讯通中心

关于incaseformat蠕虫病毒大规模传播的专项预警通报

　　

　　据国家网络与信息安全信息通报中心监测发现，一种名为incaseformat的蠕虫病毒在国内呈现大规模爆发趋势，多省市多行业相继出现感染案例。经分析研判，incaseformat病毒并非新型病毒，该病毒可在主机内长期潜伏，并通过U盘等移动存储介质传播，在特定时间对系统进行破坏。为全面提升省内关键信息基础设施、重保单位网络安全防护水平，防止蠕虫病毒感染造成损失。

　　一、基本情况

　　incaseformat蠕虫病毒最早出现于2009年，该病毒在感染用户计算机后会自我复制到系统盘Windows目录下，并创建注册表自启动。一旦用户重启主机或满足自设定的运行时间，将会自动删除用户电脑中C盘以外的所有文件，并在磁盘根目录创建“incaseformat.txt”文本文档。区别于传统蠕虫病毒，该病毒主要通过U盘等移动存储和文件共享等方式进行传播。（尚未发现该病毒搭载主动性攻击代码进行蔓延传播的行为）

病毒名称	incaseformat.exe
文件类型	PE32 Executable for MS Windows (EXE)
MD5	1071d6d497a10cef44db396c07ccde65
SHA1	71aa3a0af1eda821a1deddf616841c14c3bbd2e3
SHA256	8c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df6 　　02890929

　　二、影响分析

　　通过技术人员对病毒样本的分析，在2021年1月13日病毒爆发后，至少到如下日期存活病毒会再次发作：

　　2021年1月23日、2月4日、2月13日、2月15日、2月25日、3月18日、3月21日、3月31日、4月12日、4月21日、4月23日、5月3日、5月15日、5月24日、5月27日、6月6日、6月18日、6月27日、6月30日

　　三、处置建议

　　（一）针对已感染病毒处置措施

　　及时断开网络并使用杀毒软件进行全盘查杀，尝试通过数据恢复软件对数据进行恢复。（注：不要重启计算机，防止触发病毒数据删除功能）

　　（二）未感染病毒预防处置措施

　　1、安装杀毒软件、更新病毒库，并及时清理杀毒软件的信任区，去除未知信任文件（tsay.exe、ttry.exe等）；

　　2、安全使用U盘等移动存储设备，关闭计算机系统的网络共享功能，谨慎下载运行未知的程序和文件；

　　3、立即启动对全网设备的病毒清理工作，并对重要数据进行备份。

原文链接：http://gat.sc.gov.cn/scgat/c103410/2021/1/21/446b080766964b60a0edcf55a3ff9a08.shtml