突發(fā)！incaseformat蠕蟲病毒來襲，下次發(fā)作在2月23日！

近日，一種名為incaseformat的蠕蟲病毒在國內(nèi)爆發(fā)，該蠕蟲病毒執(zhí)行后會自復(fù)制到系統(tǒng)盤Windows目錄下，并創(chuàng)建注冊表自啟動，一旦用戶重啟主機，使得病毒母體從Windows目A錄執(zhí)行，病毒進程將會遍歷除系統(tǒng)盤外的所有磁盤文件進行刪除，對用戶造成不可挽回的損失。簡單來說，就是電腦中除C盤之外的其他文件都被刪除，且磁盤中可能被創(chuàng)建“incaseformat”文本文檔。

目前，已發(fā)現(xiàn)國內(nèi)多個區(qū)域不同行業(yè)用戶遭到感染，雖然病毒傳播范圍暫未見明顯的針對性，但遭到感染的用戶損失非常重大，畢竟電腦上比較重要的數(shù)據(jù)都是存放在系統(tǒng)盤以外的分區(qū)中。鑫誼工程師也有接到用戶求助，但中毒后再來亡羊補牢為時已晚，因此需要警惕大家一定要預(yù)防該病毒的入侵。

事實上，該蠕蟲病毒早在2011年就已經(jīng)有爆發(fā)過，因為該病毒所使用的delphi庫中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯誤，最終導(dǎo)致 DecodeDate 計算轉(zhuǎn)換出的系統(tǒng)當前時間錯誤。也因為上述原因，該樣本作為一個老病毒。直到2021年1月13日才觸發(fā)刪除用戶文件的代碼邏輯。

該病毒設(shè)定的刪除日期不止2021年1月13日，距離最近的下一次刪除時間為2021年1月23日。如果用戶電腦中還有殘留的病毒，將面臨再次被刪除的危害。我們建議廣大用戶及時使用殺毒軟件全盤掃描（清空信任區(qū)）進行排查。

由于該病毒只有在Windows目錄下執(zhí)行時會觸發(fā)刪除文件行為，重啟會導(dǎo)致病毒在Windows目錄下自啟動，因此，建議廣大用戶在未做好安全防護及病毒查殺工作前請勿重啟主機：

與此同時，我們建議所有電腦都應(yīng)該安裝殺毒軟件（如火絨安全軟件5.0）并及時升級病毒庫到最新版本。