incaseformat蠕虫病毒的预防措施及应对措施

2021年才开始的第一个月，病毒感染事件再起。昨天开始，很多用户开机后发现多数电脑除C盘外，全部格式化了，所有文件夹都被隐藏，只留下一个incaseformat.txt文件。这是incaseformat病毒在“卷土重来”，并且有大面积爆发迹象！

一、incaseformat病毒**

蠕虫病毒：是常见的计算机病毒中的一种，主要通过网络（计算机漏洞、聊天工具、邮件等）和存储工具（U盘等）途径传播，通常隐藏在普通的文件中，比如DOC、PPT、JPG等。蠕虫是一种不断自我复制裂变的代码，在入侵一台计算机完全控制后，会将该计算机作为宿主继续传播感染其他计算机，类似棋盘摆米似的倍数增长。

incaseformat蠕虫病毒通过以下步骤入侵你的数据：

1、 自动将本程序代码复制到系统盘符下的windows目录中（C：/windows/tsay/tsay.exe）

2、 在注册表中自动创建开机自动启动的服务

（HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa）

3、 病毒在下次用户开机时自动启动，通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除

4、所有文件夹都被隐藏，只留下一个“incaseformat”文本文档

归结重点：incaseformat蠕虫病毒会自动删除计算机非系统盘的其他存储区域的数据，传播性强，隐蔽性高、危害性大，需要重点防范。

二、病毒防护措施**

1、安全上网： 提高安全意识 ，不随意点击陌生链接、来源不明的邮件附件

2、关闭共享： 确保共享目录关闭 或者只读模式 、主机防火墙开启

3、数据备份：利用云祺备份软件马上备份，保证拥有近期时间段的备份数据

三、云祺应对蠕虫及勒索病毒优势**

1、指定文件类型备份文件**

incaseformat病毒是通过全盘镜像起作用的，将你的实际文件全部强制隐藏，用一个大小一样的.exe文件替换在原有位置，让你误以为这个文件就是原来的文件。

针对incaseformat病毒的修改文件特点，云祺可以在备份前判断文件的类型，不同于其他备份判断文件后缀名，云祺可以深入到文件内部识别到文件的真正类型，从而过滤掉不在允许中的文件。

2、 病毒预判并预警**

开启防病毒功能后，指定文件类型备份时,每次备份前都会进行全文件夹扫描，预判备份文件和之前选择类型是否一样，如果不一致，会进行预警，提前让用户发现，及时预防。

3、文件CDP**

云祺可通过实时的文件备份对文件进行保护，即使原始文件被篡改或被感染，都可以恢复到被修改前一个时刻，恢复时间可以精确到毫秒。

4、操作系统整体备份**

目前遇到的感染现象是除系统盘之外，其他盘全部数据都被删除，只留下一个“incaseformat”文本文档。

针对蠕虫病毒对磁盘的删除操作特性，可以通过云祺的操作系统备份对整个操作系统进行备份，即使除系统盘外的磁盘被删除，也可以通过操作系统备份直接恢复整个操作系统到被删除之前。

5、备份数据防篡改**

云祺备份服务器是搭建在Linux系统上，一定程度可以避免Windows上的病毒感染。另外最重要的一点是云祺通过独有的专利技术，通过IO监控，可以对已经备份好的数据进行持续保护，防止任何恶意程序及人工修改，只有云祺自有程序能够识别并修改备份文件。

通过对各种病毒感染事件分析，不难发现，数据备份才是应对病毒感染的最佳选择。在发生数据感染丢失事件前定期或者实时备份重要的业务数据，在事件发生后，快速恢复备份数据，拉起业务运行， 减少勒索病毒入侵带来的损失。