原標題：突發：蠕蟲病毒 incaseformat 在國內肆虐，可導致用戶數據丟失

2021年1月13日，深信服、360、火絨安全實驗室等國內安全公司對外發布預警，稱一種名爲incaseformat的蠕蟲病毒在國內爆發。

深信服稱，該蠕蟲病毒早在2014年就已經爆發。因爲該病毒所使用的delphi庫中的 DateTimeToTimeStamp 函數中 IMSecsPerDay 變量的值錯誤，最終導致 DecodeDate 計算轉換出的系統當前時間錯誤。

該蠕蟲病毒執行後會自複製到系統盤Windows目錄下，並創建註冊表自啓動，一旦用戶重啓主機，使得病毒母體從Windows目錄執行，病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除，對用戶造成不可挽回的損失。目前，已發現國內多個區域不同行業用戶遭到感染，病毒傳播範圍暫未見明顯的針對性。

病毒名稱：incaseformat

病毒性質：蠕蟲病毒

影響範圍：多省市多行業發現感染案例，有規模爆發趨勢

危害等級：高危，可導致用戶數據丟失

病毒描述

經分析，該蠕蟲病毒在非Windows目錄下執行時，並不會產生刪除文件行爲，但會將自身複製到系統盤的Windows目錄下，創建RunOnce註冊表值設置開機自啓，且具有僞裝正常文件夾行爲：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當蠕蟲病毒在Windows目錄下執行時，會再次在同目錄下自複製，並修改如下注冊表項調整隱藏文件：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最終遍歷刪除系統盤外的所有文件，在根目錄留下名爲incaseformat.log的空文件：

深信服解決方案

由於該病毒只有在Windows目錄下執行時會觸發刪除文件行爲，重啓會導致病毒在Windows目錄下自啓動，因此，深信服安全團隊建議廣大用戶在未做好安全防護及病毒查殺工作前請勿重啓主機：

1、 不要隨意下載安裝未知軟件，儘量在官方網站進行下載安裝；

2、 儘量關閉不必要的共享，或設置共享目錄爲只讀模式；深信服EDR用戶可使用微隔離功能封堵共享端口；

3、 嚴格規範U盤等移動介質的使用，使用前先進行查殺；

4、 如發現已感染主機，先斷開網絡，使用安全產品進行全盤掃描查殺再嘗試使用數據恢復類軟件。深信服爲廣大用戶提供免費查殺工具，可下載如下工具，進行檢測查殺：

64位系統下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

與此同時，深信服安全感知平臺、下一代防火牆、EDR用戶，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅。

火絨安全實驗室分析

火絨安全實驗室工程師稱，此次的病毒與常見的蠕蟲病毒不同，除了具有僞裝文件夾圖標，隱藏原始文件夾的危害以外，還設置了定時刪除文件的邏輯。一旦滿足設定的時間，將會刪除用戶電腦中除C盤之外的其他盤符的所有文件，並且可能在磁盤根目錄創建“incaseformat.txt”文本文檔。此次有大量用戶被刪文件的原因，是因爲這些用戶對該病毒進行了信任，或者根本沒有安裝安全軟件。很可能該病毒已經在用戶電腦中潛伏多年。

不僅如此，該病毒設定的刪除日期不止今天（1月13日），距離最近的下一次刪除時間爲1月23日。如果用戶電腦中還有殘留的病毒，將面臨再次被刪除的危害。建議廣大用戶及時使用火絨安全軟件全盤掃描（清空信任區）進行排查。對於未安裝火絨已經中毒的用戶，建議清空信任區後進行全盤掃描查殺。

2014年火絨對該樣本的收錄和檢測

判斷系統時間執行全盤文件刪除相關代碼

病毒所使用的有問題的 DateTimeToTimeStamp 相關代碼

病毒傳播相關代碼

蠕蟲病毒因其會僞裝成其他文件、不斷複製自身的特性，具有非常強的傳播性。即便被安全軟件查殺，也經常會被用戶錯當成“誤殺”，進行信任處理。也因此，蠕蟲病毒在企業內網中的活躍度一直居高不下。學校、打印店等也是蠕蟲病毒的重災區。火絨工程師再次提醒廣大用戶，若遇到安全軟件頻繁報毒的情況，很大概率就是感染了蠕蟲病毒，應第一時間諮詢安全廠商，不要輕易對其進行信任。