具有逻辑炸弹功能的incaseformat蠕虫病毒近日被唤醒

2021年1月13日，一种名为“incaseformat”的Windows操作系统平台下具有“逻辑炸弹”功能的蠕虫病毒被唤醒激活，并对我国部分用户造成影响和损失。该病毒至少从2009年就已经出现，并可利用移动存储介质等作为媒介进行传播感染，其内在的逻辑炸弹程序被激活后，会删除用户文件，造成数据损失。 病毒运行后会自我复制到Windows系统目录下，并更名为“tsay.exe”和“ttry.exe”；而后创建注册表启动项“HKEY_LOCAL_MACHINE\ SOFTWARE、\Microsoft\Windows\CurrentVersion\RunOnce\msfsaC:\windows\tsay.exe”实现持久化和自启动；同时，该病毒还会复制自身到除系统分区以外所有逻辑分区的根目录下，将分区下已存在的文件夹隐藏，并且以这些文件夹的名称命名（同时隐藏自己的扩展名，仿冒文件夹图标），诱使用户误点击，从而实现利用移动存储介质或网络共享等方式进行传播；病毒存在“逻辑炸弹”程序代码，原计划应于2010年开始，每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行一次删除操作，对除操作系统所在分区之外的其他逻辑分区内所有文件进行删除，并留下名为“incaseformat.log”的空内容文档，但因编码问题，逻辑炸弹程序于2021年1月13日才被激活，以后每隔10日左右会再次被唤醒进行实施删除文件的恶意破坏行为。 建议我国用户采取以下措施进行防范和处置，一是用户应对病毒防治产品进行特征库升级（目前主流杀毒软件均可以检测并清除该病毒，也可酌情选择各反病毒企业提供的专杀工具），并对内网主机和移动存储介质进行统一杀毒操作，做到不遗漏，并保持杀毒软件实时监控功能开启；二是对已经感染病毒主机进行隔离，确定清除病毒后才能恢复上线；三是如果已造成数据损失，尽量避免进行新的磁盘读写操作，在条件允许的情况下，可尝试进行数据恢复。