欢迎来到yabovip1亚搏直播app
18118028216 扫码关注
二维码
在线试用
  • 实施案例
  • 二开案例
  • 企业信息
  • 联系我们
  • 二开案例
    热门新闻
    联系我们
    yabovip1亚搏直播app
    淮安:18505218550
    常州:18118028216
    淮安地址:淮安市清江浦区颐高广场3号楼工程917室
    常州地址:常州市钟楼区怀德南路55号泰盈八千里5-8创新工场二楼
    公司新闻
    当前位置:首页—新闻中心—公司新闻
    突发!incaseformat蠕虫病毒来袭
    发布时间:2021-1-16  浏览次数:152

    2021年1月13日,一种名为incaseformat的蠕虫病毒在国内爆发。该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,删除用户除C盘以外的所有磁盘文件,危害极大。

    一、病毒行为描述

    设置开机自启

    此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行为。

    隐藏自身

    当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

    删除文件

    病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。最终遍历删除系统盘外的所有文件,在根目录留下名为 incaseformat 的文本文件。

    二、解决方案

    目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

    中毒后如何处置:

    1、主机排查

    排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。

    2、数据恢复(建议专业团队操作)

    切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复亚搏直播app(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。

    3、病毒清理

    由于病毒出现年份较早,主流杀毒亚搏直播app均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:

    1) 通过任务管理器结束病毒相关进程(ttry.exe)

    2) 删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)

    3) 恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项

    防护建议

    1、不要随意下载安装未知亚搏直播app,尽量在官方网站进行下载安装;

    2、尽量关闭不必要的共享,或设置共享目录为只读模式;

    3、严格规范U盘等移动介质的使用,使用前先进行查杀;

    4、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类亚搏直播app。

    5、及时备份重要文件,且文件备份应与主机隔离, 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

    三、数据安全建议

    万物互联时代,企业数据作为企业的重要资产,在企业的经营、管理、决策方面起着重要作用,与此同时,数据的存储安全也备受企业关注。企业上云,作为一种安全、便捷的企业信息储存方式,以其成本低、接入快、更新快的优势赢得企业认可。于用户而言,面对病毒,公有云已成为一个安全避风港。

    比如:可以使用网络备份机备份,详见http://qwap.czchliy.com/product/19

    当然也可以用云备份比如金万维云联进行云备份(我司提供)




  • 上一篇:用友T+新功能更新2021年1月
  • 下一篇:如何提高设备利用率?八大措施一个不能少!
  • 淮安yabovip1亚搏直播app有限公司
    淮安:18505218550
    常州:18118028216
    淮安地址:淮安市清江浦区颐高广场3号楼工程917室
    常州地址:常州市钟楼区怀德南路55号泰盈八千里5-8创新工场二楼
    yabovip1亚搏直播app Copyright 2019. All rights reserved
    咨询热线:
    18118028216
    在线客服:
    官方微信站:
    公司官网: www.hachliy.com