2021年1月13日,一种名为incaseformat的蠕虫病毒在国内爆发。
嗨格式数据恢复团队几乎是同一时间收到了大量的用户咨询,深入跟进每一个用户的实际情况,发现:电脑中除C盘之外的其他磁盘文件都被删除,且部分用户的磁盘中被创建了一个名为“incaseformat”文本文档。
经过嗨格式工程师团队查看故障环境,确认问题原因是电脑中病毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。
此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行。
发现文件不见了但空间占用还正常的,不要重启,利用杀毒工具全盘杀毒即可。
病毒名称:incaseformat
病毒性质:蠕虫病毒
病毒特征:与“格式化分区病毒”很相似
影响范围:多省市多行业发现感染案例,有规模爆发趋势
危害等级:高,可导致用户数据丢失
该病毒会造成硬盘资料全部丢失,C盘,桌面等可执行程序全部不能使用。提醒各师生,重要数据及时备份。注意不要存储在本地硬盘,要拷贝到其他的介质(移动硬盘、网盘、光盘、U盘等)。及时进行打补丁、杀毒处理。
第一步:incaseformat病毒专杀
下面分享一个有效的解决方案,适用情况:文件不见了,你可以自由删除的被感染文件夹内的incaseformat.txt文件,并且不会被提示该文件正在被占用。
首先,千万不要重启电脑。
然后,下载一个查杀病毒的杀毒软件(以USBcleaner为例)。
下载USBcleaner软件,将软件解压到一个未被incaseformat病毒感染的文件夹内,如果所有的文件夹均被感染,可以将软件解压到桌面上,无需安装。
安装完成后,正式开始我们的incaseformat病毒专杀工程。
1、搜索并删除电脑内所有的incaseformat.txt文件。
原因:incaseformat病毒一般只会感染一级文件,子文件夹不会受到感染。
2、关闭电脑的所有应用程序,在安全模式下重启电脑
目的:为了防止病毒扩散至其他盘。
3、启动病毒查杀工具:
4、点击【全面检测】,全面检测电脑内的incaseformat病毒。
检测完成之后,软件提示【是否启动文件夹图标病毒专杀工具】,确定即可。
在电脑本地的病毒
删除方法:使用上述文件夹图标病毒专杀工具可以消灭
当软件杀毒完成后,重新打开之前被感染的文件夹,可以查看到原来的文件,并且病毒声称的exe文件被删除。
补充:查杀完成,部分用户会发现电脑生成了一个SystemVolumeInformation的隐藏文件夹,这个不是病毒,实际上是系统自动生成的还原点信息文件,所以不用担心。
5、完成上述操作后,正常模式重启电脑,最后用电脑上的杀毒软件做收尾工作。
另外,对于一些是由被感染的U盘影响到电脑的小伙伴,一定要注意查杀U盘的病毒,可以用上面的工具进行操作。
第二步:incaseformat病毒专杀后数据恢复
确保电脑中没有病毒,如果文件已经不存在了,建议尝试通过数据恢复软件进行找回(以嗨格式数据恢复大师为例)。
1、安装数据恢复工具,扫描电脑检测数据残余。
2、如果软件扫描不到数据,可以预约工程师操作。
incaseformat病毒的前因后果
1、incaseformat病毒:incaseformat病毒又称文件夹图标病毒,它有一个进程专用于在文件夹内生成incaseformat病毒,大家所看到的incaseformat.txt其实是一个镜像文件。
2、incaseformat病毒性质:incaseformat病毒属于木马和蠕虫两类病毒的结合体,所以兼顾了这两种的特性,木马可以复制,将木马所处文件夹作为命名名称,同时复制占用文件夹;蠕虫的特性石感染exe文件,当你在点击这个exe文件时,启动木马传播至其他文件夹中。
综上所述:incaseformat病毒的核心作用机理是,强制隐藏你的所有实际文件,然后模拟一模一样的假exe文件替换原有的位置。导致你以为这个exe就是原文件。
下面给大家演示一下:
1、打开文件资源管理器,点击查看-选项卡最右侧一栏,在显示/隐藏的部分,勾选文件扩展名。(勾选后可查看文件的扩展名)
2、返回文件夹查看文件,如果你已经中了病毒,则后缀文件为exe。如下图所示。
最后需要提醒大家:
第一:incaseformat 病毒可能二次爆发
根据嗨格式团队跟进发现:incaseformat 病毒设定的删除日期于1月13日,下一次删除时间是1月23日。如果你的电脑中病毒没有完全查杀完成,很有可能会面临再次被删除文件的危险。
第二:关于U盘病毒
如果是U盘中病毒了,注意使用查杀工具杀毒U盘。
防范中病毒的方式,切忌双击打开U盘,选择右键打开U盘会更稳妥。
第三:关于数据恢复
如果发现自己文件丢失或者操作过程中误删除了,请不要做任何操作,立刻寻求专业人员的帮助,尽可能防止由于不当操作导致文件被覆盖(覆盖了则无法恢复)。
最后,建议每一个用户及时使用病毒查杀软件进行深度查杀,同时也记得转发给身边的小伙伴,及时排查病毒,以免遭遇数据丢失的风险!