重磅预警！incaseformat 蠕虫病毒大范围爆发，20s 删除用户文件

技术编辑：芒果果丨发自 思否编辑部

---

1 月 13 日晚，360、深信服等安全公司发布了紧急预警，称监测到蠕虫病毒 incaseformat 大范围爆发，已有多家公司发生磁盘数据被删事件。

该蠕虫病毒主要通过 U 盘传播，感染用户机器后会通过 U 盘自我复制感染到其他电脑。病毒启动后会自动复制到 C：WINDOWStsay.exe，待计算机重新启动后在开机 20s 内删除用户数据。

据安全监测机构预计，incaseformat 蠕虫病毒可能会在 1 月 23 日再次爆发，建议用户提前做好预防数据丢失的防范工作。

---

蠕虫病毒大范围爆发，开机 20s 删除用户文件

安全监测机构分析发现，该蠕虫病毒是通过 DeleteFileA 和 RemoveDirectory 代码对计算机内的文件进行了删除。该病毒还能自动复制到 C:WINDOWStsay.exe 创建启动项后退出，计算机再次启动后会在开机 20s 开始删除用户文件。

据了解，这已经不是该蠕虫病毒第一次爆发了，早在 2014 年就发生过类似事件。

目前，国内已有多个地区的不同行业用户受到该蠕虫病毒影响，但暂时还没发现该病毒具有何种传播范围的针对性。

---

病毒只在 Windows 目录下运行

据深信服安全研究团队介绍，该蠕虫病毒只有在 Windows 目录下执行时，才会触发删除文件行为。在非 Windows 目录下执行时，病毒会自动复制到系统盘的 Windows 目录下，创建 RunOnce 注册表值设置开机自启，并将自己伪装成正常文件。

当蠕虫病毒在 Windows 目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

遍历删除系统盘外所有的文件后，该蠕虫病毒会在根目录留下名为 incaseformat.log 的空文件：

---

专家发布安全建议：

incaseformat 蠕虫病毒大范围爆发后，多家安全机构已经紧急发布了病毒扫描版本支持检测计算机的病毒。

安全专家建议，如果计算机内已有病毒感染，应立即断开网络，并使用杀毒软件进行全面查杀，可尝试使用数据恢复软件进行数据恢复。

安全建议：

• 不要打开未知来源文件；
• 不要下载安装非官方网站的软件；
• 不要选择“隐藏已知文件的扩展名”；
• 禁止 U 盘自动运行；
• 使用高强度密码并定期更换；
• 注意备份重要文件。

---

- END -