|
【病毒詳情】 近日國內(nèi)多個(gè)區(qū)域和行業(yè),突發(fā)中了incaseformat病毒,涉及政府、醫(yī)療、教育、運(yùn)營商等多個(gè)行業(yè),且感染主機(jī)多為財(cái)務(wù)管理相關(guān)應(yīng)用系統(tǒng)。感染主機(jī)表現(xiàn)為所有非系統(tǒng)分區(qū)文件均被刪除。 【病毒分析】 從搜索引擎結(jié)果來看,該病毒最早出現(xiàn)時(shí)間為 2009 年,主流殺毒軟件廠商均將此病毒命名為 Worm.Win32.Autorun,從名稱可以判斷該病毒為 Windows 平臺(tái)通過移動(dòng)介質(zhì)傳播的蠕蟲病毒。病毒文件運(yùn)行后,首先復(fù)制自身到 Windows 目錄下(C:\windows\tsay.exe),文件圖標(biāo)偽裝為文件夾。 【病毒影響】 感染主機(jī)表現(xiàn)為所有非系統(tǒng)分區(qū)文件均被刪除,重啟后數(shù)據(jù)會(huì)丟失。 【處置建議】 若未出現(xiàn)感染現(xiàn)象建議(其他磁盤文件還未被刪除): 1、勿隨意重啟主機(jī),先使用防病毒軟件進(jìn)行全盤查殺,并開啟實(shí)時(shí)監(jiān)控等防護(hù)功能; 2、不要隨意下載安裝未知軟件,盡量在官方網(wǎng)站進(jìn)行下載安裝; 3、嚴(yán)格規(guī)范U盤等移動(dòng)介質(zhì)的使用,使用前先進(jìn)行病毒查殺; 4、重要數(shù)據(jù)做好備份。 若已出現(xiàn)感染現(xiàn)象建議(其他磁盤文件已被刪除): 1、使用防病毒軟件進(jìn)行全盤查殺,清除病毒殘留; 2、數(shù)據(jù)恢復(fù):可嘗試使用數(shù)據(jù)恢復(fù)類工具進(jìn)行恢復(fù),恢復(fù)前盡量不要占用被刪文件磁盤空間,由于病毒操作的文件刪除并沒有直接從磁盤覆蓋和抹去數(shù)據(jù),可能仍有一定幾率進(jìn)行恢復(fù); 注:切勿對(duì)被刪除文件的分區(qū)執(zhí)行寫操作,以免覆蓋原有數(shù)據(jù),然后使用常見的數(shù)據(jù)恢復(fù)軟件(如:Finaldata、recuva、DiskGenius等)即可恢復(fù)被刪除數(shù)據(jù)。 【相關(guān)鏈接】 1、http://antivirus.kingdee.com【防病毒軟件下載地址】 2、https://mp.weixin.qq.com/s/e-gSM-ggbReYy1jAr-oE6Q【安全情報(bào)】 |