关于2021-01-13爆发的incaseformat病毒相关信息收集1.2(持续更新和关注中...)

声明：以上信息均来自互联及各个安全厂商，个人仅是收集和整理，方便大家参考。

病毒名称： incaseformat

针对系统：Windows操作系统
传播途径： U盘、共享文件夹、写入开机注册表
危害：目前已知，创建伪文件快捷方式（.exe格式），图标文件夹样式，重启后会在非系统盘留下一个incaseformat.txt，并删除其他所有文件！

# 中招后非系统盘截图

# 中毒文件夹和正常文件夹对比

# 中毒后仅系统盘数据保留（为了病毒程序能正常运行？）

有待验证：目前数据恢复只能恢复垂直记录技术（PMR）和机械硬盘,现在新款的叠瓦式硬盘（SMR）机械硬盘和SSD固态硬盘这种病毒破坏力可以说目前无解。

病毒文件将在主机重启后运行，并开始遍历所有非系统分区下目录并设置为隐藏，同时创建同名的病毒文件。

病毒产生的相关目录或注册表：

# C盘系统目录下

# 相关文件及路径

C:WINDOWS say.exe

C:windowssystem32 try.exe

incaseformat.log
incaseformat.txt

# 注册表键值添加和修改

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfs

通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtcheckedvalue

# 任务管理器进程

排查思路：
1. 确认用户端 2021-01-13日或近期是否有使用过U盘（自查，并反馈上报到ISC）
2. 是否电脑在插U盘提示过病毒（自查，并反馈上报到ISC）
3. 查看杀毒软件后台数据是否有，类U盘快捷方式病毒（ISC处理）

解决方法：
1．所有电脑确认安装杀毒软件并且是否正常运行或者病毒库有无过期（员工自查）
2．及时对特别重要数据进行备份（员工自行处理）
3．对所有设备进行安全扫描检查，关闭涉及到的电脑本机、服务器本机、网络设备、安全设备的135-139、445等高危端口; （ISC会进行全网扫描）
4．使用U盘等外设前，使用安全软件关闭自动播放功能,且对外接设备进行扫描后再继续使用；