声明:该文章内容全部摘录于互联网其他博文帖子,我只是网络上的搬运工,希望能够帮助到大家!
一、公司通知:
通知:
近日,蠕虫病毒incaseformat大范围爆发,病毒感染用户机器后会通过U盘自我复制感染到其他电脑,导致电脑中磁盘文件被删除,给用户造成极大损失。
请大家及时更新杀毒软件(腾讯安全管家,360卫士)等,以保证能够及时有效的支持此病毒拦截和查杀!
安全建议:
若发现带有文件夹图标的EXE文件,除非知道该文件的来源,否则不要打开;
调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,避免被恶意文件夹图标迷惑;
禁止U盘自动运行,关闭U盘自动播放;
打开系统自动更新,并检测更新进行安装;
请到正规网站下载程序;
不要点击来源不明的邮件以及附件,邮件中包含的链接;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口及网络共享;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
二、病毒原理机制分析:
- 首先incaseformat病毒是通过全盘镜像来起作用的,有一个负责在文件夹内生成这一病毒的进程,incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字:文件夹图标病毒。
- 这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己,并且用所在文件夹的名字给自己命名,然后把自己复制满你的文件夹,保证每个文件夹下都有木马。蠕虫会感染你的exe文件,也就是可执行程序,然后让你在点击这个文件的时候,启动木马来传播到别的文件夹中。
- 这个病毒的核心作用机理在于,将你的实际文件全部强制隐藏掉,而用一个大小一样的.exe文件来出现在原有的位置,让你误以为这个文件就是原来的文件。
三、为什么这个病毒影响力这么大原因分析?
原因1:中毒特征明显。
一看就知道自己中毒了。因为这个病毒会把分区里面所有的数据删除,中毒特征非常明显,不像其他蠕虫病毒隐藏性非常好,即使电脑感染了病毒你都不容易发现。
原因2: 移动互联网时代信息传播太快。
具有普遍性的小事件瞬间就会被微信朋友圈,自媒体公众号等信息传播渠道放大很多倍。
原因3: 固态硬盘普及大容量硬盘加入的新技术特性。
原来的机械硬盘误删除,格式化后数据都可以恢复,但现在的固态硬盘和新款SMR技术硬盘删除后可以完整恢复目录,但恢复后数据打开都是乱码。
这就是因为固态硬盘的trim以及新款SMR技术都会在删除后数据底层填写00。 并非传统机械硬盘仅仅在文件头上做个删除标记而已。
所以这个病毒现在破坏性很高并非这个病毒本身的破坏性有多强,而是存储介质本身原因导致的。
四、防护措施:
**首先:这个病毒根本不是勒索病毒,仅仅算是蠕虫病毒的一种**
1、目前公司现有的网络设备,无法达到在网络入口限制该病毒。
2、通知用户及时更新电脑软件病毒库。
3、安装查杀工具,进行有针对性的防护检测。
查杀工具链接如下,排名不分先后:
五、补救方法:
若被incaseformat病毒破坏数据,恢复数据是可以找回的(固态硬盘及SMR技术硬盘除外)
数据恢复方案
1、若已经感染该病毒,请断开网络,
2、使用杀毒软件进行全盘查杀,
3、尝试使用数据恢复软件(R-Studio)对数据进行恢复。