关于加强防范新型计算机病毒的通知

发布者:通知公告管理员责任编辑:发布时间:2021-01-14浏览次数:15

各部门:

接安徽省委网信办通知,近日,国内专网大面积爆发新型病毒(incaseformat病毒),对该病毒进行溯源和深入分析后发现,用户电脑中毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实施了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除用户文件。

蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。提醒各位老师,若遇到安全软件频繁报毒的情况,很大概率就是感染了蠕虫病毒,不要轻易对其进行信任。

请各部门各单位高度重视,做好安全防护和病毒查杀工作:

一、及时安装火绒、360等防病毒软件,更新病毒库;

二、尽量不要使用U盘,如必须使用,请先使用安全软件关闭自动播放功能,并进行病毒扫描后再继续使用;

三、终端如发现感染应立即断网(禁用计算机网卡或拔掉网线),切勿进行关机或重启操作,使用安全产品进行全盘扫描查杀,之后再尝试使用数据恢复类软件进行数据恢复。

信息化建设与管理中心

2021年1月14日

附件:

危害等级:高危,可导致用户数据丢失。

病毒特征:遍历删除系统盘外的所有文件,在根目录下留下名为incaseformat.log的空文件。

传播方式:通过u盘,执法记录仪等usb存储设备传播(目前发现的,后续看溯源结果)由于该病毒只有在windows目录下才会执行触发删除文件行为,重启电脑会导致windows目录启动,所以在未做好安全防护和病毒查杀工作前不要重启电脑。

解决方案:

1、由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机;

2、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

3、尽量关闭不必要的共享,或设置共享目录为只读模式;

4、严格规范U盘等移动介质的使用,使用前先进行查杀;

5、信息终端安装防病毒软件(知名杀毒软件均可查杀);

6、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

检查方式:

1、查看注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\中是否有msfsa的启动项;

2、查看C:\windows系统路径下是否有ttry.exe或tsay.exe。