概述：

       自2021年1月13日上午開(kāi)始一(yī)種名爲incaseformat的蠕蟲病毒在國内爆發，該蠕蟲病毒執行後會自複制到系統盤Windows目錄下(xià)，并創建注冊表自啓動，一(yī)旦用戶重啓主機，使得病毒母體(tǐ)從Windows目錄執行，病毒進程将會遍曆除系統盤外(wài)的所有磁盤文件進行删除，對用戶造成不可挽回的損失。該病毒是個2007年的老病毒。因爲該病毒所使用的delphi庫中(zhōng)的 DateTimeToTimeStamp 函數中(zhōng) IMSecsPerDay 變量的值錯誤，最終導緻 DecodeDate 計算轉換出的系統當前時間錯誤。也因爲上述原因，該樣本作爲一(yī)個老病毒，直到2021年1月13日才觸發删除用戶文件的代碼邏輯，下(xià)一(yī)個觸發時間是2021年1月23日。

簡單分(fēn)析：

incaseformat蠕蟲病毒通過以下(xià)步驟入侵你的數據：

1、自動将本程序代碼複制到系統盤符下(xià)的windows目錄中(zhōng)（C：/windows/tsay/tsay.exe）
2、在注冊表中(zhōng)自動創建開(kāi)機自動啓動的服務
（HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa）
3、病毒在下(xià)次用戶開(kāi)機啓動後約20s就開(kāi)始自動删除文件，通過DeleteFileA和RemoveDirectory代碼實現對計算機非系統盤符外(wài)的所有存儲區域進行文件删除
4、所有文件夾都被隐藏，隻留下(xià)一(yī)個“incaseformat”文本文檔

處理方式：

特别提醒用戶，該病毒1月23日、2月4日還會發作，請在此之前進行查殺！

已經安裝360安全衛士的用戶無需升級即可查殺該病毒！

未安裝用戶可通過360軟件管家安裝任一(yī)版本360安全衛士，或安裝360最新上線的"incaseformat"病毒專殺工(gōng)具！

專殺工(gōng)具最新下(xià)載地址：http://softdl.360tpcdn.com/auto/20210114/2000002851_e4fb3308216a5d8f7f081ac3d6629c8d.exe

此次有大(dà)量用戶被删文件的原因，是因爲這些用戶誤将病毒文件加入到信任區，或者根本沒有安裝安全軟件，該病毒很可能已經在用戶電(diàn)腦中(zhōng)潛伏十年以上。

發現文件不見了但空間占用還正常的，不要重啓，清空安全衛士信任區後全盤殺毒即可。

如已經重啓或硬盤空間減少的情況，請立即切斷電(diàn)源，不要對硬盤進行讀寫操作，并向專業數據恢複人員(yuán)求助。

對于不确定有無中(zhōng)毒的用戶，建議使用安全衛士-木馬查殺-全盤掃描。