主题：incaseformat 病毒的风险关键词：蠕虫病毒

今日，国内多个区域和行业，突发中了 incaseformat 病毒，

危害极高。从 2020 年 1 月 13 日下午 2 点左右开始，已超过 20 多家单位反馈感染该病毒，其中重点针对政府行业，目前数量与范围还在进一步快速扩大中。中病毒现象：电脑 C 盘存在数据， 但是其他盘显示数据被清空。

若不幸中了病毒，请立即断开电脑网线，切记不要关机，不要重启，等待专业技术人员处置。

注意：重启可能会导致数据永久丢失，没有重启电脑的可以在隐藏文件中将数据先拷贝出来。

一、 病毒简介

恶意程序家族：incaseformat 定性：蠕虫

传播方式：U 盘传播、网络传播行为特征：

1、删除 C 盘以外的盘符数据，释放文件 incaseformat.txt 2、拷贝副本至 C:\windows\ttry.exe、C:\windows\tsay.exe 3、注册表创建启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\RunOnce\msfsa

4、样本分析样本信息

md5：4b982fe1558576b420589faa9d55e81a sha1：a858c92a664491d1195370c20f2e4fa6b6ae5c3c sha256:ff84e79cae99f5714f363588bc8238096249a85d34982

b8d8c9ac2f9c3a639e8

主要文件名为 tsay.exe 和 ttry.exe。5、漏洞利用详情

样本会自我复制到%SystemRoot%目录下，并重命名为重新命名 为 "tsay.exe" 和 "ttry.exe" ， 并 且 会 添 加 注 册 表 项HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\RunOnce\msfsa

增 加 自 启 动 ， 自 启 动 程 序 指 向 C:\windows\tsay.exe

并且还会强行篡改注册表，导致系统中的"隐藏已知文件夹 类型的扩展名"选项功能失效，这样就无法查看文件后缀，以文件 夹图标迷惑用户。

这个暴力删除操作，样本是会判断时间的，原先设定为大于2009 年的大于 3 月的每个月的 1 号、10 号、21 号、29 号进行， 而这里由于蠕虫病毒代码编写出现了一点的问题，导致判断时间出现了偏差，导致原先应该早就爆发的暴力删除操作，推迟到今天才执行。

二、影响评估

威胁等级：高危

影响系统：windows 操作系统

病毒影响：感染病毒后会直接删除电脑中除 C 盘之外的其他

磁盘中的数据，并在磁盘中创建“incaseformat”文本文档。

三、 处置建议

对已中毒单位，建议采用以下方式进行恢复： 可采用如（Finaldata、recuva、DiskGenius）等数据恢复软

件，即可对数据进行恢复处理。

未中病毒的单位，建议采用以下方式进行应急防范：

1、加强对病毒传播的监测分析，对邮件投递、漏洞利用、

安装植入、回连控制等各个阶段关联的木马等恶意样本进行强

有力的监测。

2、对常用的 U 盘进行病毒查杀，并检查 PC 主机端杀毒软

件的信任区，是否存在未知的 exe 信任文件，去除未知信任文

件(常见未 tsay.exe，ttry.exe)，做全面的杀毒。

2、对于来源不明的邮件以及附件不要查看；

3、封堵操作系统 445 端口；

4、安装并更新杀毒软件，统一进行全盘杀毒；

5、优化终端管理软件的策略，抵御警惕 incaseformat 蠕虫

四川省银行业协会

信科委网络安全工作组

2021 年 1 月 13 日