校内用户：

incaseformat病毒设定为今日发作，电脑中招后，除系统C盘以外其他文件全部被删除。这个病毒类似“定时炸弹”，如果在机器中潜伏，今天会发作。

病毒没有网络传播性，不必恐慌。它是通过U盘和文件共享传播的老病毒，最早出现在几年前，一般没有安装杀毒软件的电脑才会中招。

一．行为分析

该病毒可通过U盘等可能的文件共享行为进行传播，病毒会伪装成正常文件夹，诱导用户点击，双击后会打开与伪装文件夹同名的隐藏文件夹，且第一次运行仅进行病毒复制操作，不会有恶意行为，防止用户发现异常。

该病毒的具体行为为：

1.将自身设置文件夹图标，隐藏exe后缀名，诱导用户点击。

2.当用户运行时该病毒会将本身复制到C盘windos文件下并重命名为ttry.exe或tsay.exe，并设置一次性开机自启， 在下次重启后执行tsay.exe或ttry.exe，此时病毒才会进行恶意行为。

3.打开与病毒同名的文件夹（一般为隐藏文件夹）。

4.重启后循环遍历除C盘外其他磁盘的文件，找到文件夹后，复制病毒到当前找到文件夹相同的位置，名称与当前找到的文件夹相同，然后删除全盘文件。（一般的伪装文件病毒此处的操作应该是隐藏对应文件夹，诱导用户点击，以继续传播病毒）。

二、病毒拦截设置

文件落地之后会出现病毒弹窗，杀毒软件可以对病毒文件进行文件监控。其主要的进程是ttry.exe和tsay.exe，如下图：

当病毒运行时，杀毒软件会提示病毒正在修改注册表：该病毒会修改注册表设置隐藏对于的文件夹并伪装。如下图：

三、处理方案：

1.如果未出现病毒现象，实时防护设置发现病毒由您来处理，建议进行设置扫描所有文件进行全盘查杀，出现病毒弹窗时结束掉对应进程，立即清除之后处理。

2.如有incaseformat文件，不要做任何操作，直接找专业的数据恢复人员，对数据的任何操作都将导致数据被删除，尤其是固态硬盘，数据将无法恢复！请各位务必检查自己单位服务器，做好异地备份！

3.对于出现的病毒现象的主机直接全盘查杀，之后使用数据恢复工具尝试修复。不建议直接重启。

建议大家给系统安装病毒查杀软件和防火墙软件；进行文件传输时，使用专业杀毒软件进行查杀之后再打开保证传输的文件正常。

网络和数据中心

2021年1月14日