关于防范incaseformat病毒的通知

关于防范incaseformat病毒的通知

关于防范incaseformat病毒的通知.docx

对于incaseformat的病毒，请各单位留意：

1、D、E、F盘文件被清除出现incaseformat文本文

2、针对此终端断网进行查杀（清除信任区进行查杀）和修复（360系统急救箱等系统恢复工具）。

病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。

此病毒启动后将自身复制到C:WINDOWStsay.exe并创建启动项退出，等待重启运行，下次开机启动后约20s就开始删除行为。

处理建议：

1、所有未感染前，把所有重要文件备份（这个过程非常重要）。

2、使用U盘前使用病毒软件扫描后再使用，也可以通过管控功能禁止不明移动存储设备进入内网，同时对全网终端进行全盘扫描。

3、建议将病毒库更新到最新。

4、如果不慎感染，已经安装病毒软件的终端检查一下信任区，查看是否有被信任的病毒文件，清理信任区之后进行全盘扫描，清除病毒。

5、如果感染之后没有重启电脑的终端，清理完成病毒后，先将C盘以外盘符中被隐藏的文件，从磁盘拷贝出来后再重启电脑。如果已经被重启的终端，清理完病毒之后尝试使用第三方数据恢复工具恢复文件。

其它解决方法：

使用需要满足一个条件，就是你的感染原因是和描述是一样的，也就是说被感染文件夹内的incaseformat.txt是可以自由删除的，不会被提示该文件正在被占用。

首先usbcleaner，网盘链接如下：

链接：https://pan.baidu.com/s/1FUn5fGl6SEYDBCCKy48iFA

提取码：wnby

下来之后 直接解压到一个没有被病毒感染的文件夹内，如果都被感染了那就解压到桌面上，无需安装。

其次，通过搜索将所有的incaseformat.txt文件全部删除掉，一般都只会感染一级文件，不会深入感染到子文件夹的。

随后将电脑的所有程序都关了，在安全模式下重启电脑（这是为了防止病毒继续扩散），同时也可以避免其他杀毒软件的干扰。

启动USBcleaner：

文件夹图标病毒（包括1kb快捷方式病毒）专杀。

这样就可以启动Folder Cure组件了，再点击开始扫描并选择扫描对象为被感染的文件区域（每次只能选一个，为了提高速度可以将遍历子目录前面的对号去掉）如下图所示：

运行过程中他会直接帮你删除掉那些.exe文件

之后会看到它已经完成了修复，这时再打开之前被感染的文件，会发现原来的文件完好如初的出现了，而病毒产生的.exe文件全被删除掉了，同时可能会产生一个System Volume Information的隐藏文件夹，这个我查过是系统自动生成的还原点信息文件，并不是病毒。

这样就完成了消灭incaseformat病毒的全部操作，之后用正常模式重启电脑，再用自带的杀毒软件查杀一下残余的问题就全部解决了！

同样，被感染的U盘要在移动盘检测中一步一步进行查杀，具体操作根据提示一步一步操作即可。

首先incaseformat病毒是通过全盘镜像来起作用的，有一个负责在文件夹内生成这一病毒的进程，incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字：文件夹图标病毒。

2、这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己，并且用所在文件夹的名字给自己命名，然后把自己复制满文件夹，保证每个文件夹下都有木马。蠕虫会感染exe文件，也就是可执行程序，然后在点击这个文件的时候，启动木马来传播到别的文件夹中。

3、这个病毒的核心作用机理在于，将你的实际文件全部强制隐藏掉，而用一个大小一样的.exe文件来出现在原有的位置，让你误以为这个文件就是原来的文件。如下图所示：

可以在文件资源管理器的 查看 选项卡最右侧一栏 显示/隐藏 那一块勾选文件扩展名这一条，来看看现在文件夹里面被感染的文件是什么样子，不出意外的话，这个都是.exe。这些其实不是当前的文件，而是病毒创造出来的钓鱼图标。