各学院,各部门,各单位:
近期,一种名为incaseformat的新型网络病毒病毒正在国内传播,已有多省市多行业发现感染案例,有规模爆发趋势。
incaseformat 病毒执行后,会把电脑中除C盘之外的其他磁盘文件全部删除,且磁盘中可能被创建“incaseformat”文本文档。此病毒感染后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行就开始删除行为。
病毒介绍
病毒类型:蠕虫
传播方式:使用外部U盘等设备导致病毒感染到电脑。
行为方式:
1.删除C盘外全部文件,并有可能创建“incaseformat”文本文档。
2.拷贝副本到C:\Windows\tsay.exe\、C:\windows\trry.exe
3.添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
4.强行篡改注册表,导致系统中的隐藏已知文件夹类型的扩展名选项功能失效,这样就无法查看文件后缀,以文件夹图标迷惑用户。
修复建议
一旦发现文件不见了但空间占用还正常的,一定不要重启!先断开网络,使用安全工具进行全盘查杀,之后尝试数据恢复。
加固建议
1、不访问危险站点,不随意下载安装未知软件,不随意打开未知来源的文件等。
2、尽量关闭不必要的共享,或设置共享目录为只读模式;
3、严格规范U盘等移动介质的使用,使用前先进行查杀;
4、对重要数据进行备份。
浙江大学网络与信息安全领导小组办公室
2021年1月15日