格格病毒（incaseformat）今日發作，電腦中招后，除系統C盤以外其他文件全部被刪除。奇安信CERT研判，該病毒為多年前的老病毒，不具網絡傳播性，奇安信天擎可支持該病毒查殺和預防，已安裝天擎用戶不受任何影響，不必恐慌。

　　奇安信安全團隊發現，格格病毒通過U盤等移動存儲介質傳播，具備定時刪除文件的能力，會在特定時間定時發作，刪除電腦中除C盤之外的其他盤符中的所有文件，并在磁盤根目錄創建“incaseformat.txt”文本文檔。

　　奇安信安全專家表示，關于此次格格病毒發作事件，有以下四個需要注意的事實：

　　1. 今天是一個“病毒發作事件”，不是“病毒傳播事件”。這個病毒類似“定時炸彈”，如果在機器中潛伏，今天會發作。

　　2. 病毒沒有網絡傳播性，不必恐慌。它是通過U盤和文件共享傳播的老病毒，最早出現在幾年前，一般沒有安裝殺毒軟件的電腦才會中招。

　　3、因為該病毒定時發作，如果今天未開電腦，建議明日再開機殺毒。

　　4、對于已經中招的電腦，把專殺放在U盤上啟動，待殺毒完成后，可請專業公司恢復數據。

　　病毒相關信息

　　【惡意程序家族】

　　incaseformat

　　【關鍵字】

　　#incaseformat.txt、#tsay.exe、#ttry.exe

　　【家族詳情】

　　病毒類型：蠕蟲

　　傳播方式：U盤隱藏正常文件夾，并替換為同名樣本母體

　　行為特征：

　　1.運行后拷貝副本至C:\windows\tsay.exe、C:\windows\ttry.exe

　　2.創建注冊表啟動項

       3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa                              C:\windows\tsay.exe

　  4.重啟后啟動項中的母體文件運行，并刪除系統盤以外盤符所有文件，然后釋放大小為0kb的文件incaseformat.txt。

　　安全防護建議

　　1. 提高員工安全意識，使用U盤前用殺毒軟件進行病毒掃描后再使用；也可以通過管控功能禁止不明移動存儲設備進入內網。

　　2. 提升內網殺毒軟件覆蓋率，確保主要終端和服務器均安裝有殺毒軟件，并定期更新病毒庫到最新。

　　3. 對于不慎感染的終端，使用奇安信天擎進行全盤查殺。查殺前確認信任區是否不明文件，清理信任區之后再進行全盤掃描。

　　尚未安裝的奇安信天擎的用戶，可以使用奇安信“格格病毒”（incaseformat）專殺工具，對系統進行全盤掃描，并清除病毒。清理完病毒之后嘗試使用專業數據恢復工具或尋找第三方數據恢復公司進行數據恢復。

　　專殺工具下載地址：

　　http://dl.qianxin.com/skylar6/FocusTool.latest.zi