火绒能查杀比特币勒索病毒 你最关心的关于incaseformat的8个问题

1月13日，“incaseformat”病毒以其破坏性强、集中爆发的特点，引起了广大用户的恐慌。 经火绒工程师确认，火绒默认设置可以对病毒进行防御和查杀，无需担心。 我们总结了以下三类病毒防御相关问题，如何处理中毒，以及用户关心的病毒详情，以便大家更客观地了解事件和病毒：

问：如何防御这种病毒？

A：火绒个人和企业用户无需升级即可拦截查杀该病毒。

（Tinder的检测名称为：HEUR:Worm/Autorun.o）

在病毒删除用户文件之前，用户可以使用Tinder的扫描查杀功能对付病毒，不会对用户文件造成任何危害。 同时，建议用户开启火绒的【免疫保护】功能，确保即使信任该病毒，火绒仍会对其进行拦截。 位置：防护中心>系统防护>系统加固>智能防护>【开启系统免疫】

Q：如何查杀中毒的？ 不知道如何清除信任区怎么办？

A:1) 个人用户：

清除信任区域后，进行全盘扫描查杀。 并检查可能被感染的可移动设备。

2）企业用户：

1、检查火融中心和终端信任区是否存在用户信任的病毒，并清除信任区。

2、在火融中心对所有终端进行全面扫杀，排查可能被感染的移动设备。

3、杀完之后，最好通过火绒中心/终端日志查看本次杀掉的结果，以免漏杀某个终端。

注意：如果您不知道如何清除信任区，请不要着急，一定要开启【免疫保护】，火绒可以在用户信任的情况下阻断病毒。

Q：删除的文件可以恢复吗？

A：由于病毒在删除文件时并没有覆盖或破坏文件，所以恢复被删除文件的可能性很大。 用户可以联系专业的数据恢复公司进行恢复。 注意：如果数据很重要，请不要自己动手。

Q：如何检测我的电脑是否中了incaseformat病毒？

A：您可以使用以下手动或脚本的方法进行检测：

1）人工检测法

检查系统中是否存在以下文件，如果存在则说明存在incaseformat病毒。

C:\Windows\tsay.exe

C:\Windows\ttry.exe

2）脚本检测方法

将以下脚本内容复制粘贴到任意一个后缀为.bat的批处理文件中，双击执行，即可输出检测结果。 （注意：bat编码集需要选择ANSI）

@回声关闭

设置 tsay_path=C:\Windows\tsay.exe

设置 ttry_path=C:\Windows\ttry.exe

如果存在 %tsay_path% goto find

如果存在 %ttry_path% goto find

echo 本机未发现[incaseformat]病毒，安装安全软件，检查信任区，确认是否开启实时监控

回声。

暂停

出口

：寻找

echo 本机有[incaseformat]病毒火绒能查杀比特币勒索病毒，请联系管理员处理

回声。

暂停

出口

Q：incaseformat病毒是新病毒吗？ 它是勒索软件吗？

A：“incaseformat病毒”不是2021年爆发的新病毒，而是存在已久的老病毒。 报告的 Tinder 病毒类型是蠕虫。

问：病毒是如何传播的？

A：病毒的主要传播方式是U盘等移动存储设备。 经火绒工程师分析确认，该病毒不会通过U盘以外的网络共享、漏洞等常见的蠕虫传播方式传播。

问：病毒有潜伏期吗？ 为什么它会在 1 月 13 日席卷网络？

A：有潜伏期火绒能查杀比特币勒索病毒，很多用户很早就感染了病毒。 病毒中设置了时间逻辑，由于BUG只发生在2021年1月13日。

Q：下一次攻击（删除文件）会在什么时候发生？

A：最近一次删除文件的时间是1月23日早上6点左右，下一次删除时间是2月4日早上8点左右。

由于病毒使用的单个自然日对应的毫秒数大于正常值（病毒使用的毫秒数换算为一天26小时左右），因此病毒触发删除逻辑的时间可能跨越两个自然日。 日期，比如：1月13日早上9点左右开始触发，1月14日上午11点左右结束，1月23日早上6点左右开始触发，到1月24日早上8点左右，等等。

补充材料：

《蠕虫“incaseformat”23日也将爆发，Tinder不升级也能干掉》