走进杰创【紧急通知】今日,一种名为incaseformat的蠕虫病毒在国内爆发,已涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。根据用户反馈,开机后发现多数电脑除了C盘外,全部删除了,财务系统瘫痪、数据丢失。
据畅捷通技术团队了解,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。
重点提示:中招的用户根据以下步骤操作!
中毒后的处置建议:
1、主机排查
排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。
2、数据恢复(建议专业团队操作)
切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。
3、病毒清理
由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:
1) 通过任务管理器结束病毒相关进程(ttry.exe)
2) 删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)
3) 恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项
数据安全建议:
