【应对蠕虫病毒“incaseformat”】火绒完整版+数据恢复软件...

金牛 · 发表于 2021-1-14 11:12:40|来自：

马上注册，结交更多圈友，享用更多功能，让你轻松玩转舞台圈。

您需要登录才可以下载或查看，没有账号？立即注册

x

安全提醒

新病毒蔓延！近日，蠕虫病毒incaseformat大范围爆发，病毒感染用户机器后会通过U盘自我复制感染到其他电脑，导致电脑中磁盘文件被删除，给用户造成极大损失。建议大家对电脑进行查杀！！！
1、若未被感染也需要进行全盘查杀确保安全！因为病毒还会在1月23日重新发起删除操作！！！
2、若已经被感染，切勿重启！切勿重启！切勿重启！请在清除信任区，全盘查杀后，在不关机重启的情况下使用数据恢复软件恢复数据，或联系专业的数据恢复服务人员操作。
3、此后若遇到安全软件频繁报毒的情况，很大概率就是感染了蠕虫病毒，应第一时间咨询安全厂商，不要轻易对其进行信任！！

如果控台不幸中招，建议直接恢复系统，如果 D盘演出文件和灯库重要建议用帖子最后的软件对D盘进行恢复。

点击查看控台恢复系统方法！！！

控台不建议装杀毒软件，国内知名品牌建议直接恢复系统，恢复不了可以联系我指导解决。

===以下为火绒安全论坛原帖===

今日，火绒工程师接到大量用户求助，称电脑中除C盘之外的其他文件都被删除，且磁盘中可能被创建“incaseformat”文本文档。经火绒工程师查看现场后发现，是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。火绒用户无需担心，火绒安全软件（个人版、企业版）无需升级即可对该病毒进行拦截并查杀。

火绒工程师分析发现，此次的病毒与常见的蠕虫病毒不同，除了具有伪装文件夹图标，隐藏原始文件夹的危害以外，还设置了定时删除文件的逻辑。一旦满足设定的时间，将会删除用户电脑中除C盘之外的其他盘符的所有文件，并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因，是因为这些用户对该病毒进行了信任，或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。

不仅如此，该病毒设定的删除日期不止今天（1月13日），距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒，将面临再次被删除的危害。我们建议广大用户及时使用火绒安全软件全盘扫描（清空信任区）进行排查。对于未安装火绒已经中毒的用户，建议清空信任区后进行全盘扫描查杀。

事实上，该蠕虫病毒早在2014年就已经被火绒入库。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误，最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因，该样本作为一个老病毒。直到2021年1月13日才触发删除用户文件的代码逻辑。

2014年火绒对该样本的收录和检测

判断系统时间执行全盘文件删除相关代码

病毒所使用的有问题的 DateTimeToTimeStamp 相关代码

病毒传播相关代码

蠕虫病毒因其会伪装成其他文件、不断复制自身的特性，具有非常强的传播性。即便被安全软件查杀，也经常会被用户错当成“误杀”，进行信任处理。也因此，蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。火绒工程师再次提醒广大用户，若遇到安全软件频繁报毒的情况，很大概率就是感染了蠕虫病毒，应第一时间咨询安全厂商，不要轻易对其进行信任。

附录：

回复下载电脑杀毒软件：

游客，如果您要查看本帖隐藏内容请回复

数据恢复软件（此软件不能百分百保证数据能全部恢复，请慎重下载）

数据恢复软件直装版.rar (197 Bytes, 下载次数: 22, 售价: 50 金币)

来源：网络转载，责任编辑：金牛