校园网用户：

    综合多方消息，近日一种名为incaseformat的蠕虫病毒在国内爆发，该病毒表现为一种文件夹蠕虫，通过文件共享或移动设备（U盘、移动硬盘灯）进行传播，并会在共享目录或移动设备路径下将正常的文件夹隐藏，自己则伪装成文件夹的样子。该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

根据安全公司分析，该蠕虫病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2月4日。

为避免受到incaseformat蠕虫病毒攻击，遭受损失，请广大师生注意防范处理，做好数据备份：

一、若未出现感染现象（其他磁盘文件还未被删除）：

1、勿随意重启主机，先使用安全软件进行全盘查杀，并开启实时监控等防护功能；

2、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

3、尽量关闭不必要的文件共享，或设置共享目录为只读模式；

4、严格规范U盘等移动介质的使用，使用前先进行查杀；

5、重要数据做好备份；

二、若已出现感染现象（其他磁盘文件已被删除）：

1、使用安全软件进行全盘查杀，清除病毒残留；

2、可尝试使用数据恢复类工具进行恢复，恢复前尽量不要占用被删文件磁盘的空间，由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据，可能仍有一定几率进行恢复；

切记不要对被删除文件的分区执行写操作，以免覆盖原有数据，然后使用常见的数据恢复软件（如：Finaldata、recuva、DiskGenius 等）尝试恢复被删除数据。

三、查杀工具

深信服EDR:

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

绿盟科技EDR:

https://cd001.www.duba.net/duba/install/packages/ever/kinstnui_150_12.exe

瑞星EDR:

https://120.236.114.197:16143/index.php/instal/downloadPackage?filename=windows_1610554428.exe

安天智甲终端防御系统（IEP）：

http://www.antiy.com/download/IEP/setup.zip

    为防范此类安全威胁，向师生提出建议如下：

　　一、做好个人重要数据备份。个人的科研数据、工作文档、照片等，根据其重要程度，定期备份到移动存储介质、知名网盘或其他计算机中。

　　二、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件，减少计算机被入侵的可能。

三、注意个人计算机安全维护。自动定期更新系统补丁，安装常用杀毒软件和安全软件，升级到最新病毒库，并打开其实时监控功能。

四、规范U盘等移动介质的使用，使用前先进行查杀。

　　五、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的，在无法确认文档是安全的情况下，切勿盲目打开宏功能。

　　六、不要打开来历不明或可疑的电子邮件和附件。

　　七、注意个人手机安全，安装手机杀毒软件，从可靠安全的手机市场下载手机应用程序。

参考资料：

【紧急预警】关于爆发的 incaseformat 病毒事件分析https://mp.weixin.qq.com/s/qAIzFhDbWt2OMl2-0XOdVA

为何incaseformat病毒今日集中爆发，下次爆发时间为？https://mp.weixin.qq.com/s/4i5JErLkSCf6hV8mPIWUmw

Incaseformat病毒来势汹汹，请广大用户提高警惕https://mp.weixin.qq.com/s/lwYLapephS57bnpps706XA

红色预警！蠕虫病毒incaseformat全面爆发https://mp.weixin.qq.com/s/43gVN4DFc0gxjG8-SWwphw

最新暴力蠕虫病毒“incaseformat”来袭！360安全卫士轻松拿下！https://mp.weixin.qq.com/s/MxI-ytdRBak67uq4PPww1A

蠕虫携带逻辑炸弹，安天智甲早已设防https://mp.weixin.qq.com/s/M0pxUZ4cK5O3orcsV2I3eQ