电脑中了 incaseformat 格式化分区病毒怎么办？

wN9无知

关于1月13日外网出现较大规模磁盘文件被删除的通告

1月13日，360安全卫士团队收到大量用户反馈，电脑中除C盘之外的其他磁盘文件都被删除，且磁盘中可能被创建“incaseformat”文本文档。
经过查看故障环境，确认问题原因是电脑中病毒后，病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。
此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出，等待重启运行，下次开机启动后约20s就开始删除行。

发现文件不见了但空间占用还正常的，不要重启，清空安全卫士信任区后全盘杀毒即可。




360安全卫士早已支持此病毒的拦截和查杀，但因故障环境中都存在病毒文件被加入到信任区，导致病毒文件不能被及时查杀。
作恶的病毒文件：



病毒以及病毒创建的exe被加入到了信任区：







针对此问题，需要先清空安全卫士的信任区，然后全盘杀毒并按照提示处理并重启电脑。
重启后建议在全盘扫描一次，确保电脑中没有病毒，然后在安全卫士--功能大全中搜索“文件恢复”尝试恢复数据，或者联系专业的数据恢复人员协助处理。

PS：有用户说恢复文件无法使用的，这里说明一下：
数据恢复都不能保证100%的恢复成功，即便恢复出来也不能保证文件一定能正常使用。
如果使用360文件恢复无法恢复或者恢复的文件无法使用，建议联系专业的数据恢复人员试试。wN9无知

wN9无知

查询研究

网上查了一番，也没有查询到病毒的详细介绍，不知道是以什么方式传播的。wN9无知

病毒特征与“格式化分区病毒”很相似，但是360安全卫士的通告中说的却没有那么可怕，病毒只是执行了删除，并没有进行覆盖写入等操作，那么数据基本就是可以恢复的了。wN9无知

格式化分区病毒是一种恶性网络病毒，该病毒一旦感染你的计算机你硬盘中的资料就会永远被破坏掉，它不同于一般的格式化分区，它会在格式化分区之后对硬盘进行反复的读写操作，造成资料的永久损坏是数据恢复软件无法修复的，如果你发现硬盘突然只剩下C盘，那你硬盘中的资料就找不到了。该病毒隐蔽的很好，会在发作后自行删除。wN9无知

在百度知道的一个问题，可以看出此病毒早在2009年就已经有了wN9无知

wN9无知

360安全卫士的通告也没有介绍病毒的传播方式，从一篇“incaseformat病毒解决方法”中得知，这病毒可以通过U盘传播。以下引用部分内容：wN9无知

wN9无知

我本来是一个计算机小白，凭借多年的被坑蒙拐骗经验初步判断了一下，我首先用电脑自带的McAfee查了一下病毒，发现它把我所有的被感染文件全隔离了，这岂不是意味着我的资料都没了？那肯定不行，所以我先把杀毒软件退了，免得它误导我操作。
然后我大概了解了一下这个病毒的作用机理，整理如下：wN9无知

1. 首先incaseformat病毒是通过全盘镜像来起作用的，有一个负责在文件夹内生成这一病毒的进程，incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字：文件夹图标病毒。wN9无知

2. 这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己，并且用所在文件夹的名字给自己命名，然后把自己复制满你的文件夹，保证每个文件夹下都有木马。蠕虫会感染你的exe文件，也就是可执行程序，然后让你在点击这个文件的时候，启动木马来传播到别的文件夹中。wN9无知

3. 这个病毒的核心作用机理在于，将你的实际文件全部强制隐藏掉，而用一个大小一样的.exe文件来出现在原有的位置，让你误以为这个文件就是原来的文件。如下图所示：
   
   你可以在文件资源管理器的 查看 选项卡最右侧一栏 显示/隐藏 那一块勾选文件扩展名这一条，来看看你现在文件夹里面被感染的文件是什么样子，不出意外的话，这个都是.exe。这些其实不是你的文件，而是病毒创造出来的钓鱼图标。wN9无知

wN9无知

文件夹图标病毒

文件夹图标病毒不是一个病毒，而是具有类似性质的病毒的统称，此类病毒会将真正的文件夹隐藏起来，并生成一个与文件夹同名的EXE文件，并使用文件夹的图标，使用户无法分辨，从而频繁感染，一些用户的文件夹被隐藏影响正常的工作与学习。wN9无知

U盘病毒

如果是U盘中病毒了，那么首先要设置电脑插入USB设备后自动运行。wN9无知

防范中病毒的方式就是不要双击打开U盘，而是右键》打开。wN9无知

数据恢复

关于数据恢复，如果发现出问题了，最好尽快关闭电脑，防止病毒继续运行造成更多的破坏，防止自己不当的操作导致原本有文件的位置被覆盖。然后准备WinPE U盘启动盘从U盘启动，恢复数据时并恢复到外部存储设备。wN9无知

相关参考

文件夹图标病毒wN9无知

incaseformat病毒解决方法wN9无知

关于1月13日外网出现较大规模磁盘文件被删除的通告wN9无知

wN9无知

本文由 微wx笑 创作，采用 署名-非商业性使用-相同方式共享 4.0 许可协议，转载请附上原文出处链接及本声明。
原文链接：https://www.ivu4e.cn/blog/service/2021-01-13/605.html

很赞哦！ () 赏 有话说 ()