备注：本文是直接在文档上复制的，因为要给客户看，但是我想着，可以分享，经验总结，今天2021年1月14号，各位快拿去解决问题。

2021年1月13日，全国多家单位反馈感染所谓的incaseformat病毒，涉及政府、医疗、教育、运营商等多个行业，且感染主机多windows系统。感染主机表现为所有非系统分区文件均被删除，被删除文件分区根目录下均存在名为incaseformat.log的空文件。incaseformat蠕虫病毒在代码中内置了一颗“定时炸弹”，定时触发，重启后直接删除文件。

只要安装防病毒软件就没事，不多说，网上一大把关于这样的描述。

Incaseformat解决方案参考

1 没有出现删数据的现象时，如何判断自己电脑有没有感染？

1.1 方法一：杀毒软件识别

1.2 方法二：人工排查

2 发现已感染但数据还未删除的解决办法

2.1 方法一：直接杀毒，恢复隐藏文件（推荐）

2.2 方法二

2.2.1前期操作

2.2.2数据恢复

2.2.3病毒查杀

3 发现已感染且数据已删除的解决办法

3.1病毒查杀

3.1.1方法一：拼手速，直接杀毒（测试可行）

3.1.2方法二：在PE模式下，将U盘中杀毒软件拷贝到C盘

3.2数据恢复

3.2.1前期排查

3.2.2工具恢复

4 未感染主机加固操作

4.1全盘杀毒

4.2使用U盘前进行安全检查

4.3电脑关闭自动播放功能

4.4关闭默认共享

5 天融信EDR防护方案

6 如何安装天融信EDR？

1.1 方法一：杀毒软件识别

下载防病毒软件（如天融信EDR：http://edr.topsec.com.cn/）

若扫描出现ttry.exe或tsay.exe程序时，即为感染。

1.2 方法二：人工排查

在C:\windows下搜索有无类似tsay.exe、ttry.exe的程序，没有最好。

中毒的情况：

查看注册表启动项，查看是否有msfsa指向C:\windows\tsay.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe，没有最好。

进入注册表，运行框（快捷键WIN+R）内搜索regedit

按路径寻找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

继续按路径依次点开，不再截图

中毒的情况：

2 发现已感染但数据还未删除的解决办法

这种情况很好处理，而且可以快速恢复数据，虽然程序已经开始运行，但电脑还未重启，并没有删除数据。

2.1 方法一：直接杀毒，恢复隐藏文件（推荐）

直接插入带有EDR软件的U盘，运行程序进行查杀，并且通过测试，天融信EDR能够自动恢复隐藏文件。

对该病毒进行安全分析，发现第二次爆发的时间是23号，从14至22日均不会触发删除文件的条件，所以程序暂时不会对U盘数据进行删除，可直接杀毒，恢复隐藏数据即可。如果插入U盘后，发现出现U盘数据删除的情况，参考方法二。

2.2 方法二

2.2.1前期操作

不要关机，不要打开任何文件夹
通过任务管理器结束病毒相关进程（tsay.exe、ttry.exe）

鼠标右键点击任务栏空白处，选择任务管理器进入即可

2) 显示“进程”->右键”结束任务”

删除C:\windows下的tsay.exe、ttry.exe程序（步骤见1.1）
删除注册表中msfsa指向C:\windows\tsay.exe 的组件（步骤见1.1）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe

此外还需修复以下注册表项:

实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

2.2.2数据恢复

显示原有文件：在文件夹选项里面设置，勾选“显示隐藏文件”，去掉“隐藏已知文件类型扩展名”的勾选。

在win10中

在win7、XP中

计算机->组织->文件夹和搜索选项->查看

2）勾选“显示隐藏的文件。。。”

去掉“隐藏已知文件类型扩展名”的勾选

原有文件备份：打开D/E/F等盘，发现如下数据。删除带有.exe后缀的文件夹，将正常的文件夹（不带有.exe的文件夹）拷贝一份至C盘，其它所有盘都如此操作，进行备份。

2.2.3病毒查杀

方案一（推荐）：直接插入带有EDR软件的U盘，直接运行程序，进行杀毒。杀毒完成后，再指定路径对U盘进行杀毒。

因为“前期操作”已进行了手工病毒删除，故不会运行程序直接删除U盘内容，若直接删除U盘内容，参考方案二。

方案二：

关机
在pe模式下进入电脑，将带有EDR软件的U盘插入，将EDR软件拷贝至C盘。
正常启动电脑，运行C盘中的EDR，进行杀毒。

3 发现已感染且数据已删除的解决办法

3.1病毒查杀

3.1.1方法一：拼手速，直接杀毒（测试可行）

直接插入带有EDR软件的U盘，在U盘数据没有被删除前尽快运行杀毒程序，进行查杀。通过测试，该病毒不会删除已运行程序（或者尽快将杀毒软件拷贝到C盘）。

3.1.2方法二：在PE模式下，将U盘中杀毒软件拷贝到C盘

关机
为防止病毒直接删除U盘中数据的情况：在pe模式下进入电脑，将带有EDR软件的U盘插入，将EDR软件拷贝至C盘
正常启动电脑，运行C盘中的EDR，进行杀毒

删除各文件夹中的incaseformat.log

3.2数据恢复

3.2.1前期排查

对病毒进行完全清除，防止恢复文件时将带有.exe的病毒文件一起恢复。

排查任务管理器中是否还存在与病毒相关的进程（tsay.exe、ttry.exe）

（步骤见2.2.1）

排查C:\windows下是否还存在tsay.exe、ttry.exe程序（步骤见1.1）

3、删除注册表中msfsa指向C:\windows\tsay.exe 的组件（步骤见1.1）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa C:\windows\tsay.exe

此外还需修复以下注册表项:

实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

3.2.2工具恢复

切勿对被删除文件的分区执行写操作，以免覆盖原有数据，常见的数据恢复软件（如：Finaldata、easyrecover、recuva、DiskGenius等）即可恢复被删除数据，大部分收费，且操作不当会使所恢复文件不完整，或者乱码，建议联系专人进行数据恢复工作。

4 未感染主机加固操作

4.1全盘杀毒

尽快在该病毒非爆炸时间进行全盘杀毒，确保主要终端和服务器均安装有杀毒软件，并定期更新病毒库到最新。

4.2使用U盘前进行安全检查

使用U盘前用杀毒软件进行病毒扫描后再使用。

4.3电脑关闭自动播放功能

原因：自动播放功能启用时，如果自动播放设备有病毒，病毒会自动运行

步骤如下：

打开的运行窗口（快捷键WIN+R）中输入命令gpedit.msc

打开的本地组策略编辑器窗口中，依次点击“计算机配置/管理模板/Windows组件/自动播放策略”菜单项

3、右键点击“关闭自动播放”菜单项，在弹出菜单中选择“编辑”菜单项，启用->所有驱动器->应用

4.4关闭默认共享

控制面板->管理工具->服务->关闭服务server

5 天融信EDR防护方案

天融信EDR无需病毒库升级即可对该蠕虫病毒进行全面查杀和防御。

1）已安装天融信EDR的用户可对该蠕虫病毒精准查杀和全面防御。

2）未安装天融信EDR的用户，可试用企业版或下载单机版对该蠕虫病毒进行检测与查杀。

3）可对带有该病毒的U盘进行查杀，并自动恢复隐藏文件。

6 如何安装天融信EDR？

下载链接

http://edr.topsec.com.cn/

1、本地下载

2、更改安装目录，装到C盘（强调：针对已感染电脑，请装到C盘，其它盘不要动，以免后期恢复数据困难）

可以事先在C盘中新建一个文件夹，命名为TOPSECDER

1）更改安装目录

2）确定，急速安装

3、安装完成，快速查杀即可

4、出现tsay.exe、ttry.exe等为该病毒所产生程序，直接处理

完成后再进行全盘杀毒，不再演示

Incaseformat病毒解决方案参考（针对2021-01-13全国爆发）相关推荐

（三十七：2021.01.13）Pre-MICCAI 2019学习（二）《前列腺近距离放射治疗中，检测粒子在CT中的3D位置和方向》
<Automatic 3D seed location and orientation in CT images for prostate brachytherapy> 讲在前面摘要论 ...
无名2021/01/13
最喜欢的风轻云淡,现在仍在追逐中当年你说的,离开,放弃. 如今我早已释怀.甚至已经记不清,你的脸. 刚接到家里的通知,建议在外务工人员,就地过年. 如果返乡,需配合检查,提前报告行程. 感谢家乡的人 ...
【更新】网盘不限速下载 2021.01.13
哈喽大家好嘞! 最近一直都有好多朋友们反馈, 以往的百度网盘都不能用了, 安排,这就安排. 大家在学习知识的同时,不要忘记点赞呦! ★ KinhDown 搜集了全网,可算是找到了一个能用的! 依旧是 ...
Incaseformat病毒是如何传播的？我们该如何防护？
2021年1月13日,没错,就是昨天!国内多省市.多行业发现incaseformat病毒的案例,并且形成规模爆发的趋势.目前,虽然已经有病毒专杀工具或安全软件能将病毒拔除,但是感染用户数据已经没了!有 ...
incaseformat病毒突发来袭，该如何预防？
incaseformat病毒突发来袭,该如何预防? 在1月13日当天,网上很多网友声称中了一种名为 incaseformat的蠕虫病毒,把他电脑里面除了系统盘以外的磁盘文件都删除了. 病毒描述和触发 ...
WannaCry勒索比特币蠕虫病毒解决方案
WannaCry ransomware used in widespread attacks all over the world Customer Guidance for WannaCrypt a ...
一次挖矿入侵处理记录(2021.01.27)
https://github.com/bg6cq/ITTS/blob/master/security/mine/README.md 转自上面链接,也是我的亲身经历,供大家学习.网络安全大家引以为戒.爱 ...
从预防检测到响应，腾讯御界NDR“一站式”勒索病毒解决方案
一. 背景 2021年上半年,勒索病毒席卷美国,受害企业损失动辄数千万美元.2021年,美国最大燃油管道商(Colonial Pipeline).全球最大的肉制品生产商JBS.全球500强IT咨询公司 ...
电动力学每日一题 2021/10/13 用Fourier变换法计算静止电荷产生的电场
电动力学每日一题 2021/10/13 用Fourier变换法计算静止电荷产生的电场静止点电荷具有均匀线密度的静止电荷产生的电场具有均匀面密度的静止电荷产生的电场用Fourier变换法计算电场 ...

Incaseformat病毒解决方案参考（针对2021-01-13全国爆发）

1.1 方法一：杀毒软件识别

1.2 方法二：人工排查

2 发现已感染但数据还未删除的解决办法

2.1 方法一：直接杀毒，恢复隐藏文件（推荐）

2.2 方法二

2.2.1前期操作

2.2.2数据恢复

2.2.3病毒查杀

3 发现已感染且数据已删除的解决办法

3.1病毒查杀

3.1.1方法一：拼手速，直接杀毒（测试可行）

3.1.2方法二：在PE模式下，将U盘中杀毒软件拷贝到C盘

3.2数据恢复

3.2.1前期排查

3.2.2工具恢复

4 未感染主机加固操作

4.1全盘杀毒

4.2使用U盘前进行安全检查

4.3电脑关闭自动播放功能

4.4关闭默认共享

5 天融信EDR防护方案

6 如何安装天融信EDR？

Incaseformat病毒解决方案参考（针对2021-01-13全国爆发）相关推荐

最新文章

热门文章