运维日志您现在的位置是:首页 > 博客日志 > 运维日志

电脑中了 incaseformat 格式化分区病毒怎么办?

<a href='mailto:'>微wx笑</a>的头像微wx笑 2021-01-13运维日志 6 0关键字: incaseformat  格式化  分区  病毒  

今天收到用友的紧急通知,用户开机后发现多数电脑除c盘外,全部格式化了,请大家做好手动备份,数据拷贝到u盘或移动硬盘。尤其是还在使用WIN7系统的客户注意了。信息源为360安全卫士团队收到大量用户反馈,电脑中除C盘之外的其他磁盘文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。

image.pngwN9无知

关于1月13日外网出现较大规模磁盘文件被删除的通告

1月13日,360安全卫士团队收到大量用户反馈,电脑中除C盘之外的其他磁盘文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。
经过查看故障环境,确认问题原因是电脑中病毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。
此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行。

发现文件不见了但空间占用还正常的,不要重启,清空安全卫士信任区后全盘杀毒即可。




360安全卫士早已支持此病毒的拦截和查杀,但因故障环境中都存在病毒文件被加入到信任区,导致病毒文件不能被及时查杀。
作恶的病毒文件:



病毒以及病毒创建的exe被加入到了信任区:







针对此问题,需要先清空安全卫士的信任区,然后全盘杀毒并按照提示处理并重启电脑
重启后建议在全盘扫描一次,确保电脑中没有病毒,然后在安全卫士--功能大全中搜索“文件恢复”尝试恢复数据,或者联系专业的数据恢复人员协助处理。


PS:有用户说恢复文件无法使用的,这里说明一下:
数据恢复都不能保证100%的恢复成功,即便恢复出来也不能保证文件一定能正常使用。
如果使用360文件恢复无法恢复或者恢复的文件无法使用,建议联系专业的数据恢复人员试试。wN9无知


wN9无知

查询研究

网上查了一番,也没有查询到病毒的详细介绍,不知道是以什么方式传播的。wN9无知

病毒特征与“格式化分区病毒”很相似,但是360安全卫士的通告中说的却没有那么可怕,病毒只是执行了删除,并没有进行覆盖写入等操作,那么数据基本就是可以恢复的了。wN9无知

格式化分区病毒是一种恶性网络病毒,该病毒一旦感染你的计算机你硬盘中的资料就会永远被破坏掉,它不同于一般的格式化分区,它会在格式化分区之后对硬盘进行反复的读写操作,造成资料的永久损坏是数据恢复软件无法修复的,如果你发现硬盘突然只剩下C盘,那你硬盘中的资料就找不到了。该病毒隐蔽的很好,会在发作后自行删除。wN9无知

在百度知道的一个问题,可以看出此病毒早在2009年就已经有了wN9无知

image.pngwN9无知

360安全卫士的通告也没有介绍病毒的传播方式,从一篇“incaseformat病毒解决方法”中得知,这病毒可以通过U盘传播。以下引用部分内容:wN9无知

wN9无知

我本来是一个计算机小白,凭借多年的被坑蒙拐骗经验初步判断了一下,我首先用电脑自带的McAfee查了一下病毒,发现它把我所有的被感染文件全隔离了,这岂不是意味着我的资料都没了?那肯定不行,所以我先把杀毒软件退了,免得它误导我操作。
然后我大概了解了一下这个病毒的作用机理,整理如下:wN9无知

  1. 首先incaseformat病毒是通过全盘镜像来起作用的,有一个负责在文件夹内生成这一病毒的进程,incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字:文件夹图标病毒。wN9无知

  2. 这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己,并且用所在文件夹的名字给自己命名,然后把自己复制满你的文件夹,保证每个文件夹下都有木马。蠕虫会感染你的exe文件,也就是可执行程序,然后让你在点击这个文件的时候,启动木马来传播到别的文件夹中。wN9无知

  3. 这个病毒的核心作用机理在于,将你的实际文件全部强制隐藏掉,而用一个大小一样的.exe文件来出现在原有的位置,让你误以为这个文件就是原来的文件。如下图所示:
    image.png
    你可以在文件资源管理器的 查看 选项卡最右侧一栏 显示/隐藏 那一块勾选文件扩展名这一条,来看看你现在文件夹里面被感染的文件是什么样子,不出意外的话,这个都是.exe。这些其实不是你的文件,而是病毒创造出来的钓鱼图标。wN9无知



wN9无知

文件夹图标病毒

文件夹图标病毒不是一个病毒,而是具有类似性质的病毒的统称,此类病毒会将真正的文件夹隐藏起来,并生成一个与文件夹同名的EXE文件,并使用文件夹的图标,使用户无法分辨,从而频繁感染,一些用户的文件夹被隐藏影响正常的工作与学习。wN9无知

U盘病毒

如果是U盘中病毒了,那么首先要设置电脑插入USB设备后自动运行。wN9无知

防范中病毒的方式就是不要双击打开U盘,而是右键》打开。wN9无知

数据恢复

关于数据恢复,如果发现出问题了,最好尽快关闭电脑,防止病毒继续运行造成更多的破坏,防止自己不当的操作导致原本有文件的位置被覆盖。然后准备WinPE U盘启动盘从U盘启动,恢复数据时并恢复到外部存储设备。wN9无知

相关参考

文件夹图标病毒wN9无知

incaseformat病毒解决方法wN9无知

关于1月13日外网出现较大规模磁盘文件被删除的通告wN9无知


wN9无知

本文由 微wx笑 创作,采用 署名-非商业性使用-相同方式共享 4.0 许可协议,转载请附上原文出处链接及本声明。
原文链接:https://www.ivu4e.cn/blog/service/2021-01-13/605.html

很赞哦! () 有话说 ()