【原】除了C盘，别盘被隐藏删除的病毒处理

部分用户反馈电脑下载邮件，或使用U盘复制文件后，除了C盘，DEF盘重要数据全部消失，只留下一个文件名为“incaseformat”的文本文件，本人遇到了，安全卫士也检测到了，查杀了，不小心系统重启了，电脑可到干净了，就剩C盘有内容了，安全卫士查杀木马后，恢复区恢复文件也不管用了

用户电脑中毒后，病毒文件通过DeleteFileA和RemoveDirectory代码实施了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出，等待重启运行，下次开机启动后约20s就开始删除用户文件。

该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

病毒症状描述

       该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

中毒后重启电脑，最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

一般用户解决办法

系统C盘以外的磁盘消失并生成incaseformat文件。经过排查分析该病毒为蠕虫病毒，通过U盘（移动存储设备）传播。感染后会将系统盘C盘以外的磁盘文件隐藏，并在磁盘文件中生成“incaseformat.txt”文件。用户重启电脑之后，会将被隐藏的文件彻底删除。

注意：请如果已经中病毒用户，不要重启电脑，不要重启电脑，不要重启电脑。先清理病毒同时将被隐藏的文件拷贝出来，然后再操作重启电脑。

病毒相关信息如下：

【恶意程序家族】：incaseformat

【关键字】：#incaseformat.txt    #tsay.exe   #ttry.exe   

【家族详情】：病毒类型：蠕虫

传播方式： 

1. U盘隐藏正常文件夹，并替换为同名样本母体

行为特征：

1. 先隐藏C盘以外的盘符数据，重启之后再删除相关被隐藏文件，释放文件incaseformat.txt

2. 拷贝副本至C:\windows\ttry.exe、C:\windows\tsay.exe（文件名可能会变化）

3. 注册表创建启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

处置建议：

1. 使用U盘前使用天擎进行病毒扫描后再使用；也可以通过管控功能禁止不明移动存储设备进入内网。同时对全网终端进行全盘扫描。

2. 天擎qowl引擎支持检出，正常情况实时防护、病毒扫描都可以检出。建议将病毒库更新到最新。或者将以下MD5+SHA1添加鉴定中心或控制中心黑名单。

3. 如果不慎感染用户，已经安装天擎用户检查一下信任区，查看是否有被信任的病毒文件，清理信任区之后进行全盘扫描。尚未安装的天擎的用户，可以安装天擎，并对系统进行全盘扫描，并清除病毒。

4、如果感染之后没有重启电脑的用户，清理完病毒之后，先将C盘以外盘符中被隐藏的文件，从磁盘拷贝出来后再重启电脑。如果已经被重启的终端，清理完病毒之后尝试使用第三方数据恢复工具恢复文件；

相关MD5+SHA1（注意该样本变化较多）：

1071d6d497a10cef44db396c07ccde65+71aa3a0af1eda821a1deddf616841c14c3bbd2e3

下面是深信服查杀工具

1、  不要随意下载安装未知软件，尽量在官方网站进行下载安装；

2、  尽量关闭不必要的共享，或设置共享目录为只读模式；深信服EDR用户可使用微隔离功能封堵共享端口；

3、  严格规范U盘等移动介质的使用，使用前先进行查杀；

4、  如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

该病毒由于病毒作者在编写过程中，错误计算了系统时间，导致其删除文件的操作直到今天（2021年1月13日）才被触发，而其下一次被触发删除操作的时间则是本月23日。

注意：此病毒并非近期出现的新病毒，由于其伪装成文件夹的图标，易造成用户误认为是正常文件，从而对杀毒软件的报警选择忽略或者信任放行：

如果您的文件不幸已被病毒删除掉，只能使用数据恢复软件（安全卫士功能大全；毒霸百宝箱——数据恢复），找回丢失的文件：

病毒样本