国内突然爆发暴力蠕虫病毒！已有大量用户中招：所有文件被删

程序员的成长之路

互联网/程序员/技术/资料共享 

阅读本文大概需要 3.2 分钟。

来自：扩展迷EXTFANS

前几天，不少关于计算机安全厂商和相关论坛都发布了一则紧急公告。

公告显示：最近，一种名叫“incaseformat”的蠕虫病毒正在国内肆意传播，造成了大范围影响。

据查询到的信息，截止目前，国内已有多省市多行业的大量用户反馈中招。

中招用户均表示，自己电脑中除C盘之外的其他文件都突然被删除，且磁盘中可能被创建“incaseformat”文本文档。

火绒安全播报提到，火绒工程师接到用户求助后，查看现场后发现，是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。

说到蠕虫病毒，大家应该都已经不陌生了。

尤其是在XP时代，许多用户都有过被勒索蠕虫感染的恐怖经历。

其不断复制自身的特性，导致它具有非常强的传播性。

用户机器被感染后，往往会通过U盘自我复制感染到其他电脑，导致电脑中磁盘文件被删除，造成极大损失。

最让人头疼的是，蠕虫病毒会伪装成其他文件，具有一定的欺骗性。

即便被安全软件查杀到，也经常会被用户错当成“误报”，然后对其进行信任处理。

（厂长提醒：真正的文件夹及文档不会有.exe后缀。）

因此，很可能表面上用户电脑没有什么风险，但其实病毒已经潜伏了多年。

直到病毒发作删掉了文件后，大家才后知后觉。

多年来，蠕虫病毒已经壮大到成千上万种，活跃度一直居高不下。各大企业、高校、打印店等都是蠕虫病毒的重灾区。

安全团队溯源后发现，本次“incaseformat”蠕虫病毒在国内爆发的过程为：

病毒执行后，会自复制到系统盘Windows目录下，并创建注册表设置开机自启。

一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程就会删除除了系统盘外的所有路径下的文件，简单又粗暴。

另外，工程师还分析发现，此次的病毒与常见的蠕虫病毒不同。

除了具有伪装文件夹图标，隐藏原始文件夹的危害以外，“incaseformat”还设置了定时删除文件的逻辑。

一旦满足设定的时间，它就会删除用户电脑中除C盘之外的其他盘的所有文件。

而且，该病毒设定的删除任务不止一次，排查结果显示，下一次的删除时间为1月23日，下下一波为2月4日。

这意味着，如果用户电脑中还有残留的病毒，将面临再次被删除文件的危害。

因此，各大安全软件厂商提醒广大用户，及时使用安全软件全盘扫描，及时查杀病毒。

目前，包括火绒安全、360等杀毒软件早已收录该病毒，用户只需更新病毒库即可进行查杀。

需要强调的是，该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动。

因此，多家安全厂商也建议用户在未做好安全防护及病毒查杀工作前，请勿重启主机。

最后，厂长了解到，这次蠕虫病毒爆发的原因其实非常乌龙。

因为安全团队分析后发现，原本“incaseformat”设定的爆发时间为2009年3月份之后的某段日期。

然而，病毒作者在编写代码时出现了Bug，导致判断时间出现了偏差。

所以，早在十年前就应该爆发的文件删除操作，推迟到2021年才执行......

当然，虽然存在一点Bug，但该病毒的破坏力还是非常强的。

再加上该病毒没有具体的针对性，也就是说不论是个人电脑还是单位电脑，都有被感染的可能。

根据网友爆料，大数据显示，1月13日当天，国内的电脑维修行业生意极其火爆。

而这都是因为大量用户遭到蠕虫病毒感染，迫于无奈只能寻求外界帮助恢复被删除的数据。

无论如何，最近还请大家不要随意下载安装未知软件，并严格规范U盘等工具的使用。

如果发现中毒，请立即断开电脑的网络连接，并使用电脑防护软件进行病毒查杀。

切记：不要重启电脑！不要重启电脑！不要重启电脑！

推荐阅读：

从零实现一个日志框架（带源码）

MySQL 中主库跑太快，从库追不上怎么整？

5T技术资源大放送！包括但不限于：C/C++，Linux，Python，Java，PHP，人工智能，单片机，树莓派，等等。在公众号内回复「2048」，即可免费获取！！

微信扫描二维码，关注我的公众号

朕已阅