1、主机排查
排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。
2、数据恢复
切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。
3、病毒清理
由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:
1)通过任务管理器结束病毒相关进程(ttry.exe)
2)删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动(RunOnce)
3)恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项。
查杀工具:
格格病毒“incaseformat”专杀工具下载地址:http://dl.qianxin.com/skylar6/FocusTool.latest.zip
病毒介绍:
这个病毒最早出现在2010年之前,是一个拥有十几年“高龄”的老病毒,一般没有安装杀毒软件的电脑才会中招。奇安信将其命名为“格格病毒”。这个病毒一个形象的比喻,它类似于“定时炸弹”,而且是延时超过10年的定时炸弹,潜伏在未安装杀毒软件或误将该病毒添加至信任区的终端中,选择在特定的时间内突然发作,堪称病毒届的“耐心帝”。该病毒破坏性极大,中招的用户电脑一旦开机,除了系统盘之外,其他磁盘所有文件都会被删除,造成数据丢失等严重危害。
病毒名称:incaseformat
病毒类型:蠕虫病毒
病毒危害:删除用户除系统盘外的所有磁盘文件,并在磁盘的根目录下创建名为incaseformat.log文件
该病毒U盘隐藏正常文件夹,并替换为同名样本母体,运行后拷贝副本至C:windows say.exe、C:windows try.exe,继而创建名为注册表启动项。感染病毒的电脑用户,重启后启动项中的母体文件运行,并删除系统盘以外盘符所有文件,然后释放大小为0kb的文件incaseformat.txt。
病毒发作时间:
除了1月13日之外,未来还有2021年1月23日,2021年2月4日,2021年2月13日,2021年2月15日等。大概每月发作4次左右,仅2021年上半年,还将发作19次