昨日（2021年1月13日），国内各大主流安全厂商对外发布预警称，一种名为“incaseformat”的蠕虫病毒在国内爆发。

经调查，该蠕虫正常情况下表现为文件夹蠕虫，执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

经调查，该病毒于1月13日集中爆发是由于病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，爆发该蠕虫事件的用户感染时间应该早于1月13号，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2月4日。

目前，已发现国内多个区域、不同行业的用户遭到感染，但该病毒的传播范围暂时未见明显的针对性。

蠕虫病毒“incaseformat”分析：

从搜索引擎结果来看，该病毒最早出现时间为 2009 年，主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun，从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。病毒文件运行后，首先复制自身到Windows 目录下（C:\windows\tsay.exe），文件图标伪装为文件夹。

该蠕虫病毒运行后会检测自身执行路径，如在windows目录下则会将其他磁盘的文件进行遍历删除，并留下一个名为incaseformat.log的空文件：

若当前执行路径不在windows目录，则自复制在系统盘的windows目录下，并创建RunOnce注册表值设置开机自启:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.ex

病毒文件将在主机重启后运行，并开始遍历所有非系统分区下目录并设置为隐藏，同时创建同名的病毒文件。

此外还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue 

对此，针对该蠕虫病毒向广大用户提出防范建议：

1、不随意重启服务器，先使用安全软件进行全盘查杀，并开启实时监控等防护功能；

2、 不随意下载安装未知软件，尽量在官方网站进行下载安装；

3、 为服务器打个快照；

4、 数据做好备份；

最后，也再次提醒广大用户，安全无小事，一定要做好重要数据备份。