火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 关于incaseformat 你最关心的8个问题

[复制链接]
23301 28
楼主
发表于 2021-1-14 14:00:35 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
1月13日, “incaseformat”病毒因其破坏性以及集中爆发的特性引起了大量用户的恐慌。经火绒工程师确认,火绒默认设置即可防御并查杀该病毒,大家无需担心。我们针对网友关心的病毒防御、中毒后如何处理,病毒的详细情况三类相关问题总结如下,以便大家更客观的了解此次事件以及该病毒:


Q:如何防御该病毒?
A:火绒个人和企业用户无需升级,即可拦截和查杀此病毒。(火绒的检测名称为:
HEUR:Worm/Autorun.o
用户在病毒没有删除用户文件前,可以使用火绒查杀功能处理此病毒,不会对用户文件有任何伤害。同时建议用户开启火绒【免疫防护】功能,可确保即使信任该病毒,火绒仍会对其进行拦截。位置:防护中心>系统防护>系统加固>智能防护>【启用系统免疫】

Q:已经中毒如何查杀?不知道怎么清空信任区怎么办?
A:
1)个人用户:
将信任区清空后,全盘扫描查杀。并且排查可能带毒的可移动设备。
2)企业用户:
1.检查火绒中心、终端信任区是否有病毒被用户信任的情况,并清空信任区。
2.在火绒中心对所有终端下发全盘查杀,并且排查可能带毒的可移动设备。
3.查杀后最好通过火绒中心/终端日志检查此次查杀的结果,以免有某个终端存在漏杀的情况。
注意:如果不知道如何清空信任区,也无需担心,确保开启【免疫防护】,火绒即可在用户信任该病毒的情况下对其进行拦截。

Q:被删除的文件还能恢复吗?
A:因为病毒删除文件时没有对文件做覆写或破坏操作,恢复被删除文件的可能性很大,用户可以联系专业的数据恢复公司进行恢复。注意:在数据重要的情况下不要自行操作。

Q:如何检测自己电脑里是否有incaseformat病毒?
A:可以使用如下手工或脚本方法检测:
1) 手工检测方法
在以下路径查看是否存在
C:\Windows\tsay.exe
C:\Windows\ttry.exe

B)脚本检测方法
将以下脚本内容复制粘贴到任意扩展名为.bat的批处理文件中,双击执行,即可输出检测结果。

  1. @echo off
  2. set tsay_path=C:\Windows\tsay.exe
  3. set ttry_path=C:\Windows\ttry.exe
  4. if exist %tsay_path% goto find
  5. if exist %ttry_path% goto find
  6. echo 本机没有找到【incaseformat】病毒,安装安全软件,排查信任区并确认实时监控是否开启
  7. echo.
  8. pause
  9. exit
  10. :find
  11. echo 本机存在【incaseformat】病毒,请联系管理员处理
  12. echo.
  13. pause
  14. exit
复制代码

Q:incaseformat病毒是新病毒吗?是勒索病毒吗?
A:“incaseformat病毒”并不是2021年新爆发的病毒,而是一个存在很久的老病毒,火绒的报毒类型为蠕虫。

Q:病毒是如何传播的?
A:该病毒主要传播方式为U盘等移动存储器设备。经火绒工程师分析确认,该病毒不会通过U盘以外的网络共享、漏洞等常见蠕虫传播方式传播。
Q:病毒是否有潜伏期?为什么会在1月13日席卷网络?
A:有潜伏期,很多用户都是很早就感染了该病毒。该病毒内设置了定时逻辑,因为BUG原因导致在2021年1月13日才发作。

Q:下次发作(删除文件)是什么时候?
A:距离现在最近的一次删除文件时间为1月23日上午6点左右,再下一次是2月4日上午8点左右。

由于病毒所使用的单自然日所对应的毫秒数和正常值相比偏大(病毒所使用的毫秒数换算后一天大概为26个小时),所以病毒触发删除逻辑的时间可能横跨两个自然日,如:1月13日上午9点左右开始触发直到1月14日上午11点左右结束、1月23日上午6点左右开始触发直到1月24日上午8点左右结束等等。


点评

为什么你这么给力??  发表于 2021-1-14 15:06
回复

使用道具 举报

23301 28
沙发
发表于 2021-1-14 14:42:16 | 只看该作者
沙发!!!!!!
回复

使用道具 举报

23301 28
板凳
发表于 2021-1-14 15:04:45 | 只看该作者
给绒绒点赞
回复

使用道具 举报

23301 28
地板
发表于 2021-1-14 20:42:24 | 只看该作者
为什么运行之后后乱码呢?

屏幕截图(206).png (113.76 KB, 下载次数: 5558)

屏幕截图(206).png

点评

可能是编码,没有就对了  发表于 2021-1-23 17:07
同样  发表于 2021-1-17 20:51
回复

使用道具 举报

23301 28
5#
发表于 2021-1-14 22:00:21 来自手机 | 只看该作者
火绒大大厉害~
回复

使用道具 举报

23301 28
6#
发表于 2021-1-15 00:19:47 | 只看该作者
提醒:bat代码执行会出现乱码,建议中文改成yes或no
回复

使用道具 举报

23301 28
7#
发表于 2021-1-15 12:45:48 | 只看该作者
abc123cell 发表于 2021-1-14 20:42
为什么运行之后后乱码呢?

bat文件右键用“ 编辑”  打开,

另存为时,UTF-8改为ANSI 格式。即可解决运行是乱码问题,
回复

使用道具 举报

23301 28
8#
发表于 2021-1-15 12:47:50 | 只看该作者
bat乱码解决方法:
bat文件右键用“ 编辑”  打开,

另存为时,UTF-8改为ANSI 格式。即可解决运行是乱码问题,
回复

使用道具 举报

23301 28
9#
发表于 2021-1-15 22:55:15 | 只看该作者
大爱火绒!!!
回复

使用道具 举报

23301 28
10#
发表于 2021-1-16 08:54:55 | 只看该作者
批处理扫描出来C:\Windows\tsay.exe,C:\Windows\ttry.exe,但是火绒扫描没反应,是什么原因?次2个文件删除还会自动生成!
回复

使用道具 举报

23301 28
11#
发表于 2021-1-16 09:11:40 | 只看该作者
删除后一直会自动生成C:\Windows\tsay.exe和C:\Windows\ttry.exe两个文件夹,火绒不报毒,查杀也没反应,这样怎么处理?

点评

我也是 win10的  发表于 2021-1-16 10:03
回复

使用道具 举报

23301 28
12#
发表于 2021-1-16 09:14:26 | 只看该作者
有个问题啊,扫描显示有,但是火绒杀不了呢?

11.png (2.32 KB, 下载次数: 5607)

11.png
回复

使用道具 举报

23301 28
13#
发表于 2021-1-16 12:03:40 | 只看该作者
有问题的留qq号
回复

使用道具 举报

23301 28
14#
发表于 2021-1-16 16:53:31 | 只看该作者
特意注册账号来说一下个人看法
1、这个病毒我18年就发现了(大家可以百度搜索一下“电脑中毒,文件夹变成exe”),迹象就是除了C盘,其他所有盘文件夹都变成"名称.exe",真实文件夹被隐藏。包含U盘等移动设备。
2、在Windows文件夹有两个病毒文件,如上文所述,无法结束进程,无法强制删除,两个文件应该是相互调用。所以无法进行操作。
3、病毒具有复制性。A 感染,优盘接入(只要打开优盘就会中毒,不打开一般不会中毒。关闭Windows自动运行的好处就体现出来了),优盘中毒后,里面文件夹也会变成"名称.exe",如果优盘接入B电脑,并且打开优盘,则B就会中毒。同理,B中毒后,接入新优盘,新的优盘也会中毒。
4、中毒之后推荐使用火绒,360杀毒(360卫士没有用)、金山毒霸,进行杀毒。杀毒软件会自动删除病毒文件,帮你恢复源文件。推荐全盘扫描。
5、除极少(0.1%概率)会无法恢复外,基本上都可以恢复,无需任何担心。就是现在还有些单位电脑仍然在中毒。
6、以上就是我的个人观点,仅供参考,本人不对任何操作方法及你的个人文件负责,如有中毒请自行处理。
回复

使用道具 举报

23301 28
15#
发表于 2021-1-19 09:42:17 | 只看该作者
星宫客卿 发表于 2021-1-16 09:14
有个问题啊,扫描显示有,但是火绒杀不了呢?

请问你解决了嘛?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表