信息技术研究所官网
 
 首页  |  简介  |  网络法规  |  安全智库  |  业内动态  |  下载中心 
信息查询:
 
通知公告

关于微软谷歌的多个远程命令执行漏洞的预警通知
关于Windows Win32k权限提升漏洞(CVE-2021-1732)的预警提示
关于微软Exchange电子邮件服务组件存在漏洞的预警通知
关于VMware多款产品存在远程代码执行漏洞的安全公告
关于防范Incaseformat蠕虫病毒的预警通报
关于Windows DNS Server存在远程代码执行漏洞的安全公告



 
当前位置: 首页>>正文

关于防范Incaseformat蠕虫病毒的预警通报
2021-01-20 12:43   审核人:   (点击: )

病毒描述
近期发现一种名为Incaseformat 的蠕虫病毒, 该蠕虫病毒主要针对 Windows 系统,具有“逻辑炸弹”功能,可感染移动存储介质,并将其作为媒介进行传播感染,易造成内网交叉感染和重复感染。病毒执行后会自复制到系统盘 Windows 目录下,并创建注册表自启动,一旦重启主机,会使病毒母体从系统盘Windows目录执行,将系统盘外的所有磁盘文件删除,造成不可挽回的损失。

安全建议
一、防御及恢复措施
1.该病毒只有在 Windows 目录下执行时会触发删除文件行为,重启会导致病毒在 Windows 目录下自启动,因此,在未做好安全防护及病毒查杀工作前请勿重启主机。
2.不要随意下载安装未知软件,尽量在官方网站进行下载安装。
3.尽量关闭不必要的共享,或设置共享目录为只读模式。
4.严格规范 U 盘等移动介质的使用,使用前先进行查杀。
5.如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。
二、自查及清除措施
1.检查任务管理器,查看是否有 ttry.exe 进程,如果有,结束掉进程。
2.文件夹选项勾选显示扩展名,显示隐藏的文件、文件夹或驱动器。
3.查看 C:\Windows 目录下,是否有 tsay.exe 和 ttry.exe,若有要及时删除,删除前切勿重启主机。若发现已经感染病毒的主机,立即拔掉网线、进行隔离,确定清除病毒后才能恢复上线。
4.Win+R 执行 regedit 打开注册表,查看是否有 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下是否有 msfsa 键的项,如果有,请删除。
5.删除各驱动器下的 incaseformat.log。
6.使用各类主流安全产品进行全盘查杀。

安全提醒
1.重要数据要做好备份。
2.不下载、安装、使用来历不明的软件。
3.不打开来历不明的邮件、文件及链接。

请广大师生提高警惕,做好预防、预警及应急处置工作;各部门要严格落实网络安全责任制,加强风险排查和安全防护工作,若发现问题要及时上报学校网信办。

 

关闭窗口

地址:天津市西青区宾水西道391号天津理工大学8号楼308A 邮编:300384 电话:022-60215511   email:zxx(a)tjut.edu.cn  (a)替换成@
版权所有:天津理工大学网络安全和信息化办公室