悄然已久的Incaseformat蠕虫病毒重燃，，，应急处置惩罚计划同步推出

首页 > 关于鉴黑担保网 > 新闻动态 > 公司新闻

悄然已久的Incaseformat蠕虫病毒重燃，，，应急处置惩罚计划同步推出

宣布时间 2021-01-14

病毒重点信息

病毒名称：incaseformat、Worm.Win32.Autorun

撒播途径：移动介质

危害水平：非系统分区数据删除

触发条件：随电脑开机启动

威胁展望：2021年1月23日将会再次爆发

处置惩罚计划：历程抑制、文件删除

威胁剖析

该病毒最早的泛起时间约在2009年，，，由于病毒编码中时间换算过失，，，延后了10余年才触发后续行为，，，incaseformat 蠕虫病毒运行后，，，将会举行以下操作：

1、举行自复制（C:\windows\tsay.exe、C:\Windows\ttry.exe）

2、设置注册表自启动（HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa）

3、隐藏受�；；；；；さ奈募�

4、触发执行后续的文件删除行动

注重事项

1、暂停使用U盘等移动存储工具

2、不翻开未知文件、不点击未知链接

3、威胁扫除前不要重启电脑

4、确保共享目录关闭、主机防火墙开启

处置惩罚计划

● 未装置天珣EDR

1、排查并删除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2、排查并删除注册表“msfsa”项

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”

● 已装置天珣EDR

1、开启要害路径信息变换收罗并添加威胁路径信息，，，一连监控预警

2、开启注册表信息变换收罗并添加威胁路径监控信息，，，一连监控预警

3、添加历程黑名单，，，抑制病毒运行

4、推送响应剧本，，，全网扫除病毒威胁

5、回溯威胁入口，，，为后续清静整改提供支持

鉴黑担保网天珣终端高级威胁检测与响应系统（简称天珣EDR），，，发明、剖析、处置惩罚清静威胁的同时提供完善的可视化回溯能力，，，协助治理职员定位威胁源头。。。。。。

温馨提醒

可通过邮件或其他方法见告所有职员执行一次鉴黑担保网提供的“关于incaseformat扫除剧本”后再关机或重启电脑。。。。。。

扫除剧本获取方法：

1、直接联系对接商务、手艺

2、拨打鉴黑担保网热线电话：400-624-3900

鉴黑担保网将一连关注此病毒后续动态并实时提供解决计划。。。。。。

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

关于鉴黑担保网