1月13日，一款“古老”的网络蠕虫病毒Incaseformat引发了全国范围内多起磁盘数据被格式化，造成了数据大量丢失。网御星云专家团队第一时间进行专项分析，在准确掌握情况之后，同步推出了应急处置方案。

重点信息

病毒名称：

incaseformat、Worm.Win32.Autorun

传播途径：移动介质

危害程度：非系统分区数据删除

触发条件：随电脑开机启动

威胁预测：23日会再次爆发

处置方案：进程抑制、文件删除

威胁“缘由”

该病毒最早的出现时间约在2009年，由于病毒编码中时间换算错误，导致了该病毒潜藏到10余年后才触发后续行为，错误的执行了删除文件的操作，即：

1.进行自复制（C:\windows\tsay.exe、C:\Windows\ttry.exe）

2.设置注册表自启动（HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa）

3.隐藏受保护的文件

4.触发执行后续的文件删除动作

防护建议

1.建议检查并确保共享目录处于关闭状态、主机防火墙处于开启状态，提前防患

2.病毒主要是通过U盘传播，建议暂停使用U盘等移动存储工具

3.不打开未知文件、不点击未知链接

4.威胁清除前不要重启电脑

5.已中招的电脑，待专杀完成后，建议请专业团队恢复数据 

网御星云处置方案

未安装网御EDR用户

1.排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2.排查并删除注册表“msfsa”项

32位系统：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

64位系统：

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”

已安装网御EDR用户

1.开启关键路径信息变动采集并添加威胁路径信息，持续监控预警

2.开启注册表信息变动采集并添加威胁路径监控信息，持续监控预警

3.添加进程黑名单，抑制病毒运行

4.推送响应脚本，全网清除病毒威胁

5.回溯威胁入口，为后续安全整改提供支撑

网御终端高级威胁检测与响应系统（简称网御EDR），发现、分析、处置安全威胁的同时提供完善的可视化回溯能力，协助管理人员定位威胁源头。

温 馨 提 示：

“关于incaseformat清除脚本”获取方式，请联系：

1、网御星云当地商务、技术人员

2、拨打网御星云热线400-810-7766

网御星云公司将持续关注此病毒后续动态并及时提供解决方案，敬请期待！