欢迎来到电脑知识学习网,专业的电脑知识大全学习平台!

手机版

蠕虫病毒怎么恢复文件(u电脑中蠕虫病毒怎么解决)

病毒安全 发布时间:2022-05-17 13:27:15

2021年1月13日,一种名为incaseformat的蠕虫病毒在国内爆发。该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,删除用户除C盘以外的所有磁盘文件,危害极大。

蠕虫病毒怎么恢复文件(u电脑中蠕虫病毒怎么解决)(1)

一、病毒行为描述

设置开机自启

此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行为。

蠕虫病毒怎么恢复文件(u电脑中蠕虫病毒怎么解决)(2)

隐藏自身

当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

删除文件

病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。最终遍历删除系统盘外的所有文件,在根目录留下名为 incaseformat 的文本文件。

蠕虫病毒怎么恢复文件(u电脑中蠕虫病毒怎么解决)(3)

二、解决方案

目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

中毒后如何处置:

1、主机排查

排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件,若存在该文件,及时删除即可,删除前切勿对主机执行重启操作。

2、数据恢复(建议专业团队操作)

切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。

3、病毒清理

由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工方式进行清理修复:

1) 通过任务管理器结束病毒相关进程(ttry.exe)

蠕虫病毒怎么恢复文件(u电脑中蠕虫病毒怎么解决)(4)

2) 删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)

蠕虫病毒怎么恢复文件(u电脑中蠕虫病毒怎么解决)(5)

3) 恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项

防护建议

1、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

2、尽量关闭不必要的共享,或设置共享目录为只读模式;

3、严格规范U盘等移动介质的使用,使用前先进行查杀;

4、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

5、及时备份重要文件,且文件备份应与主机隔离, 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

三、数据安全建议

万物互联时代,企业数据作为企业的重要资产,在企业的经营、管理、决策方面起着重要作用,与此同时,数据的存储安全也备受企业关注。企业上云,作为一种安全、便捷的企业信息储存方式,以其成本低、接入快、更新快的优势赢得企业认可。于用户而言,面对病毒,公有云已成为一个安全避风港。

蠕虫病毒怎么恢复文件(u电脑中蠕虫病毒怎么解决)(6)

铸造企业、铸造人,上铸造云!

铸造云平台依托公有云自身的安全防护,并使用了更可靠的DDOS防护、WEB应用防火墙、漏洞扫描、态势感知等安全服务,从云平台底层的数据库安全、云服务器安全到运维安全等方面进行全面防护,能够有效保障铸造云平台用户的信息安全。

责任编辑:电脑知识学习网

病毒安全