360安全卫士全面解析incaseformat病毒
- 2021-01-15 20:36:02
1月13日,"incaseformat"蠕虫病毒暴力删除磁盘文件,引起了不少用户对电脑安全的恐慌。根据360安全大脑溯源,该病毒自2009年就已经被360安全中心收录,360各安全产品始终支持对此病毒的拦截和查杀,累计查杀近5亿次"incaseformat"木马攻击。事件爆发后,360安全团队也第一时间调动行业领先的云查杀能力,精准定位阻断病毒进程,坚守拦截、查杀、防控三重堡垒机制,全面守护用户电脑安全。
本次事件再一次敲响了电脑安全的警钟,但大家也无需恐慌!在360安全卫士的三重堡垒机制下,对已中毒但磁盘文件还未被删除的,360安全大脑已经智能感知并自动查杀木马。
图来自360安全大脑数据,Incaseformat病毒从09年来360累计查杀数量地区分布
此次蠕虫病毒,不仅伪造了文件夹图标、隐藏原始文件夹,还设置了定时删除文件的逻辑。定时的执行时间是2010年4月1日,但因为BUG,误触了2021年1月13日,所以出现了较大规模事件的爆发。 除了1月13日,此病毒通过定时器还设定了多个时间段,下一次执行删除文件的时间为1月23日、2月4日等日期。在此再次特别提醒广大用户,提前进行查杀避免下次事件的发生。(360安全卫士-木马查杀-全盘扫描)已安装360卫士用户,无需升级,即可操作。
360安全卫士也针对此病毒,率先研制了"incaseformat专杀工具"。已中毒的用户请尽快使用该工具,专杀工具更快速查杀此蠕虫病毒,更精准且快速,并带免疫功能,让电脑下次不会再中此病毒。(下载路径:360安全卫士—软件管家中搜索"专杀工具")
长期来看,建议用户务必要安装安全软件,并保持开启防护设置,特别是U盘安全防护功能。(360安全卫士——我的电脑——安全防护中心)
这个蠕虫病毒,它主要通过U盘在局域网中传播,开启U盘安全防护功能就可以第一时间去拦截和查杀这个病毒,避免病毒感染到其他电脑上。
其次,当杀毒软件提示有病毒要查杀或拦截时,请勿轻易将病毒文件添加到信任区,第一时间联系安全软件厂商。
图:U盘安全防护默认开启,当提示U盘存在病毒时切勿随意添加信任
*此次有大量用户被删文件的原因,是因为这些用户误将病毒文件加入到信任区,或者根本没有安装安全软件,该病毒很可能已经在用户电脑中潜伏十年以上。
*根据病毒设置的定时器分析,删除文件的行为还会在以下时间触发。请广大用户注意提前防护查杀,确保病毒已经被清除。
【事件回顾】
360安全卫士接到了很多用户反馈"除c盘以外的其他磁盘中的文件夹出现了被隐藏或者被删除的情况",通过跟进和分析,确认是电脑中了蠕虫病毒把文件给删除的。
经进一步分析,发现这是一个比较老的木马,可追溯至2009年。因为会在磁盘中留下一个incaseformat的文本文件,暂且称之为"incaseformat"蠕虫木马。
图:病毒本体
经过360安全大脑分析,此病毒在感染用户电脑之后,会将除了c盘之外的磁盘下的文件隐藏,并创建同名的exe文件夹样式的应用程序,然后把自己注册为自启动项,以便于下次开机后能够自动运行。
当用户重启电脑之后,这个病毒会将除c盘以外的磁盘上的所有文件进行删除,只剩这个incaseformat的文本文件。
图:文件都被删除只剩下"incaseformat"文件
【解决方法】
解决方法分两种情况
情况一:当用户发现文件不见了,但空间占用还正常的情况下:不要重启电脑,清空信任区,然后进行全盘杀毒即可。
情况二:如已经重启或硬盘空间减少的情况,请使用360安全卫士杀毒后向专业的数据恢复人员求助。数据恢复后,建议对恢复的数据再次进行扫描,以防病毒创建的文件也被恢复了,造成再次感染。
【下载360安全卫士】
360安全卫士个人版、团队版以及360的全线的安全产品,早已全面支持"incaseformat"病毒的拦截和查杀。
我们针对这一木马也推出了相应的专杀工具,下载地址:http://softdl.360tpcdn.com/auto/20210115/2000002851_02650cdf44ca467676a4f02538e1d9d7.exe
或者在360安全卫士—软件管家中搜索"专杀工具"即可下载使用