IncaseFormat蠕蟲病毒來襲，該怎么保護重要文件不被刪除？

2021年1月13日，大量PC端的Windows系統用戶因感染了名為IncaseFormat的古老蠕蟲病毒，除系統盤外的文件全部被刪除。通過研究和分析，確認IncaseFormat蠕蟲病毒主要通過U盤等介質傳播，本次事件是其潛伏期結束后定時觸發的刪除文件行為。PC用戶遭遇了IncaseFormat的襲擊，“云上”用戶能否逃過一劫？

傳播靠U盤，云上更安全

通過對該家族樣本進行分析，可以確定病毒的主要傳播途徑為U盤等移動存儲介質傳播，而在云端并不具備傳染介質和途徑，因此云上主機不受該傳播途徑影響，云上安全更勝一籌！

專屬云、混合云的主機用戶也不用慌，華為云已將該家族樣本添加至規則庫中，可針對IncaseFormat蠕蟲病毒進行精準防御。用戶只需配置華為云企業主機安全（企業版）并開啟防護，即可有效識別和一鍵隔離查殺病毒。

既要主機安全，也要數據安全

被IncaseFormat蠕蟲病毒感染的用戶，除系統盤外的文件全部被刪除。僥幸的是，用戶可使用常見的數據恢復軟件恢復被刪除數據。

但安全不應只是僥幸！華為云企業主機安全兼具防篡改功能，可實時發現并攔截篡改指定目錄下文件的行為，保護指定文件不被刪除，防范于未然。

病毒仍在潛伏期，安全防護要加急

樣本分析顯示該病毒仍然在潛伏期內，以后每個月都會爆發，預計下次刪除文件的功能代碼啟動時間為2021年1月23日，病毒行程可謂緊鑼密鼓，安全防護迫在眉睫。

1、做好排查工作。如果主機存在如下的進程和文件（文件圖標為文件夾圖標）則表示該主機已被感染。

進程：tsay.exe；ttry.exe

文件：C:\windows\tsay.exe；C:\Windows\ttry.exe

使用“regedit”命令打開注冊表，通過“Ctrl+F”命令打開搜索框，分別搜索 “tsay.exe”和“ttry.exe”，將搜索到的所有包含該字符串的注冊表鍵全部刪除。

可疑移動設備接入Linux系統，查看根目錄是否存在tsay.exe、ttry.exe、autorun.inf文件，發現后刪除。

2、安裝有效安全軟件

雖然IncaseFormat蠕蟲病毒在云上不具備傳播能力，但存在可能的惡意樣本復制、共享等傳播途徑，云上用戶不可完全松懈。

華為云企業主機安全服務（HSS）助您構建服務器安全體系。HSS云端防護中心集成多種殺毒引擎，深度查殺主機中的惡意程序，也可檢測出主機中未知的惡意程序和病毒變種。啟動防護后，您的主機將受到HSS云端防護中心全方位的安全保障。

企業主機安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。