今日，深信服安全團隊監測到一種名為incaseformat的蠕蟲病毒在國內爆發，該蠕蟲病毒執行后會自復制到系統盤Windows目錄下，并創建注冊表自啟動，一旦用戶重啟主機，使得病毒母體從Windows目錄執行，病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除，對用戶造成不可挽回的損失。

目前，已發現國內多個區域不同行業用戶遭到感染，病毒傳播范圍暫未見明顯的針對性。

經分析，該蠕蟲病毒在非Windows目錄下執行時，并不會產生刪除文件行為，但會將自身復制到系統盤的Windows目錄下，創建RunOnce注冊表值設置開機自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

值: C:windows say.exe

當蠕蟲病毒在Windows目錄下執行時，會再次在同目錄下自復制，并修改如下注冊表項調整隱藏文件：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt -> 0x1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue -> 0x0

最終遍歷刪除系統盤外的所有文件，在根目錄留下名為incaseformat.log的空文件：

由于該病毒只有在Windows目錄下執行時會觸發刪除文件行為，重啟會導致病毒在Windows目錄下自啟動，因此，深信服安全團隊建議廣大用戶在未做好安全防護及病毒查殺工作前請勿重啟主機：

1、 不要隨意下載安裝未知軟件，盡量在官方網站進行下載安裝；

2、  盡量關閉不必要的共享，或設置共享目錄為只讀模式；深信服EDR用戶可使用微隔離功能封堵共享端口；

3、  嚴格規范U盤等移動介質的使用，使用前先進行查殺；

4、 如發現已感染主機，先斷開網絡，使用安全產品進行全盤掃描查殺再嘗試使用數據恢復類軟件。深信服為廣大用戶提供免費查殺工具，可下載如下工具，進行檢測查殺：