寂静已久的Incaseformat蠕虫病毒重燃，应急处置方案同步推出

首页 > 关于东森平台 > 新闻动态 > 公司新闻

寂静已久的Incaseformat蠕虫病毒重燃，应急处置方案同步推出

宣布时间 2021-01-14

病毒重点信息

病毒名称：incaseformat、Worm.Win32.Autorun

流传途径：移动介质

危害水平：非系统分区数据删除

触发条件：随电脑开机启动

威胁预测：2021年1月23日将会再次发作

处置方案：进程抑制、文件删除

威胁分析

该病毒最早的泛起时间约在2009年，由于病毒编码中时间换算错误，延后了10余年才触发后续行为，incaseformat 蠕虫病毒运行后，将会进行以下操作：

1、进行自复制（C:\windows\tsay.exe、C:\Windows\ttry.exe）

2、设置注册表自启动（HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa）

3、隐藏受�；さ奈募�

4、触发执行后续的文件删除行动

注意事项

1、暂停使用U盘等移动存储工具

2、不打开未知文件、不点击未知链接

3、威胁清除前不要重启电脑

4、确保共享目录关闭、主机防火墙开启

处置方案

● 未安装天珣EDR

1、排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2、排查并删除注册表“msfsa”项

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”

● 已安装天珣EDR

1、开启要害路径信息变换收罗并添加威胁路径信息，连续监控预警

2、开启注册表信息变换收罗并添加威胁路径监控信息，连续监控预警

3、添加进程黑名单，抑制病毒运行

4、推送响应脚本，全网清除病毒威胁

5、回溯威胁入口，为后续宁静整改提供支撑

东森平台天珣终端高级威胁检测与响应系统（简称天珣EDR），发现、分析、处置宁静威胁的同时提供完善的可视化回溯能力，协助管理人员定位威胁源头。

温馨提示

可通过邮件或其他方式见告所有人员执行一次东森平台提供的“关于incaseformat清除脚本”后再关机或重启电脑。

清除脚本获取方式：

1、直接联系对接商务、技术

2、拨打东森平台热线电话：400-624-3900

东森平台将连续关注此病毒后续动态并及时提供解决方案。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

关于东森平台