1月13日,“incaseformat”病毒因其具有破坏性和集中爆发的特点,引起了大量用户的恐慌。经tinder工程师确认,tinder的默认设置可以防杀病毒,无需担心。针对用户关心的病毒防御以及中毒后如何处理的问题,将该病毒的详细情况总结如下,让大家对此次事件和该病毒有一个更客观的认识:
00-1010A 3360 Onyx个人和企业用户无需升级即可拦截并查杀此病毒。
(tinder的检测名称为HEUR:Worm/Autorun.o)
在用户病毒删除用户文件之前,可以使用tinder查杀功能来处理这种病毒,不会对用户文件造成任何伤害。同时建议用户开启tinder的【免疫保护】功能,确保即使信任tinder也会拦截病毒。位置:保护中心系统保护安全加固智能保护[启用系统免疫]
00-1010A 33601)个人用户:
清除信任区域后,扫描并将其完全杀死。并检查可能有毒的可移动设备。
2)企业用户:
1.检查tinder中心和终端信任区是否有用户信任的病毒,清除信任区。
2.在tinder中心,所有终端都会被扫描查杀,可能有毒的移动设备也会被筛选。
3.查杀后最好通过火绒中心/终端的日志查看查杀结果,避免漏杀某个终端。
注意:如果你不知道如何清空信任区,不要担心。确保开启[免疫保护],如果用户信任,tinder可以拦截病毒。
00-1010A 3360由于病毒在删除文件时没有覆盖或破坏文件,因此很有可能恢复被删除的文件。用户可以联系专业的数据恢复公司进行恢复。注意:数据重要时不要自己操作。
00-1010a:以下手动或脚本方法可用于检测:
1)人工检测方法
确认系统中是否存在以下文件,如果存在,则说明存在病毒。
C:\\Windows\\tsay.exe
C:\\Windows\\ttry.exe
2)脚本检测方法
将以下脚本内容复制并粘贴到任何带有扩展名的批处理文件中。bat,并双击执行,即可输出测试结果。(注意:bat编码集需要ANSI)
@关闭回声
set tsay _ path=c : \\ Windows \\ tsay . exe
set ttry _ path=c : \\ Windows \\ ttry . exe
如果存在%tsay_path%转到查找
如果存在%ttry_path% goto find
在echo中没有发现[incaseformat]病毒。安装安全软件,检查信任区域,确认是否开启实时监控。
回声。
中止
出口
:查找
echo中有[incaseformat]病毒,请联系管理员处理。
回声。
中止
出口
00-1010A 3360“万一格式病毒”并不是2021年爆发的新病毒,而是存在已久的老病毒。据报道,火绒的毒性类型是蠕虫。
00-1010A 3360该病毒的主要传播方式是u盘等移动存储设备。据tinder工程师分析,该病毒不会通过网络共享、u盘外漏洞等常见的蠕虫传播方式进行传播。
00-1010A 3360有潜伏期,很多用户很早就感染了病毒。病毒里设置了定时逻辑,因为一个BUG,直到2021年1月13日才发作。
00-1010A 3360从现在开始最晚删除文件的时间是1月23日早上6点左右,下一次是2月4日早上8点左右。
由于病毒使用的单个自然日对应的毫秒数与正常值相比过大(病毒使用的毫秒数换算后约为一天26小时),病毒触发删除逻辑的时间可能跨越两个自然日,如:1月13日上午9点左右开始,1月14日上午11点左右结束,1月23日上午6点左右开始,1月24日上午8点左右结束等。
补充材料:
《蠕虫病毒“incaseformat”23日还会发作 火绒无需升级即可查杀》