九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

部分用戶反饋電腦下載郵件，或使用U盤復(fù)制文件后，除了C盤，DEF盤重要數(shù)據(jù)全部消失，只留下一個文件名為“incaseformat”的文本文件，本人遇到了，安全衛(wèi)士也檢測到了，查殺了，不小心系統(tǒng)重啟了，電腦可到干凈了，就剩C盤有內(nèi)容了，安全衛(wèi)士查殺木馬后，恢復(fù)區(qū)恢復(fù)文件也不管用了

用戶電腦中毒后，病毒文件通過DeleteFileA和RemoveDirectory代碼實(shí)施了刪除文件和目錄的行為。此病毒啟動后將自身復(fù)制到C:\WINDOWS\tsay.exe并創(chuàng)建啟動項退出，等待重啟運(yùn)行，下次開機(jī)啟動后約20s就開始刪除用戶文件。

該蠕蟲病毒執(zhí)行后會自復(fù)制到系統(tǒng)盤Windows目錄下，并創(chuàng)建注冊表自啟動，一旦用戶重啟主機(jī)，使得病毒母體從Windows目錄執(zhí)行，病毒進(jìn)程將會遍歷除系統(tǒng)盤外的所有磁盤文件進(jìn)行刪除，對用戶造成不可挽回的損失。

目前，已發(fā)現(xiàn)國內(nèi)多個區(qū)域不同行業(yè)用戶遭到感染，病毒傳播范圍暫未見明顯的針對性。

病毒癥狀描述

       該蠕蟲病毒在非Windows目錄下執(zhí)行時，并不會產(chǎn)生刪除文件行為，但會將自身復(fù)制到系統(tǒng)盤的Windows目錄下，創(chuàng)建RunOnce注冊表值設(shè)置開機(jī)自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

當(dāng)蠕蟲病毒在Windows目錄下執(zhí)行時，會再次在同目錄下自復(fù)制，并修改如下注冊表項調(diào)整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

中毒后重啟電腦，最終遍歷刪除系統(tǒng)盤外的所有文件，在根目錄留下名為incaseformat.log的空文件：

一般用戶解決辦法

系統(tǒng)C盤以外的磁盤消失并生成incaseformat文件。經(jīng)過排查分析該病毒為蠕蟲病毒，通過U盤（移動存儲設(shè)備）傳播。感染后會將系統(tǒng)盤C盤以外的磁盤文件隱藏，并在磁盤文件中生成“incaseformat.txt”文件。用戶重啟電腦之后，會將被隱藏的文件徹底刪除。

注意：請如果已經(jīng)中病毒用戶，不要重啟電腦，不要重啟電腦，不要重啟電腦。先清理病毒同時將被隱藏的文件拷貝出來，然后再操作重啟電腦。

病毒相關(guān)信息如下：

【惡意程序家族】：incaseformat

【關(guān)鍵字】：#incaseformat.txt    #tsay.exe   #ttry.exe   

【家族詳情】：病毒類型：蠕蟲

傳播方式： 

1. U盤隱藏正常文件夾，并替換為同名樣本母體

行為特征：

1. 先隱藏C盤以外的盤符數(shù)據(jù)，重啟之后再刪除相關(guān)被隱藏文件，釋放文件incaseformat.txt

2. 拷貝副本至C:\windows\ttry.exe、C:\windows\tsay.exe（文件名可能會變化）

3. 注冊表創(chuàng)建啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

處置建議：

1. 使用U盤前使用天擎進(jìn)行病毒掃描后再使用；也可以通過管控功能禁止不明移動存儲設(shè)備進(jìn)入內(nèi)網(wǎng)。同時對全網(wǎng)終端進(jìn)行全盤掃描。

2. 天擎qowl引擎支持檢出，正常情況實(shí)時防護(hù)、病毒掃描都可以檢出。建議將病毒庫更新到最新?；蛘邔⒁韵翸D5+SHA1添加鑒定中心或控制中心黑名單。

3. 如果不慎感染用戶，已經(jīng)安裝天擎用戶檢查一下信任區(qū)，查看是否有被信任的病毒文件，清理信任區(qū)之后進(jìn)行全盤掃描。尚未安裝的天擎的用戶，可以安裝天擎，并對系統(tǒng)進(jìn)行全盤掃描，并清除病毒。

4、如果感染之后沒有重啟電腦的用戶，清理完病毒之后，先將C盤以外盤符中被隱藏的文件，從磁盤拷貝出來后再重啟電腦。如果已經(jīng)被重啟的終端，清理完病毒之后嘗試使用第三方數(shù)據(jù)恢復(fù)工具恢復(fù)文件；

相關(guān)MD5+SHA1（注意該樣本變化較多）：

1071d6d497a10cef44db396c07ccde65+71aa3a0af1eda821a1deddf616841c14c3bbd2e3

下面是深信服查殺工具

1、  不要隨意下載安裝未知軟件，盡量在官方網(wǎng)站進(jìn)行下載安裝；

2、  盡量關(guān)閉不必要的共享，或設(shè)置共享目錄為只讀模式；深信服EDR用戶可使用微隔離功能封堵共享端口；

3、  嚴(yán)格規(guī)范U盤等移動介質(zhì)的使用，使用前先進(jìn)行查殺；

4、  如發(fā)現(xiàn)已感染主機(jī)，先斷開網(wǎng)絡(luò)，使用安全產(chǎn)品進(jìn)行全盤掃描查殺再嘗試使用數(shù)據(jù)恢復(fù)類軟件。

該病毒由于病毒作者在編寫過程中，錯誤計算了系統(tǒng)時間，導(dǎo)致其刪除文件的操作直到今天（2021年1月13日）才被觸發(fā)，而其下一次被觸發(fā)刪除操作的時間則是本月23日。

注意：此病毒并非近期出現(xiàn)的新病毒，由于其偽裝成文件夾的圖標(biāo)，易造成用戶誤認(rèn)為是正常文件，從而對殺毒軟件的報警選擇忽略或者信任放行：

如果您的文件不幸已被病毒刪除掉，只能使用數(shù)據(jù)恢復(fù)軟件（安全衛(wèi)士功能大全；毒霸百寶箱——數(shù)據(jù)恢復(fù)），找回丟失的文件：

病毒樣本