工作发现，近日发生多起办公电脑感染incaseformat病毒导致所有非系统分区文件被删除的网络安全事件，此病毒危害较大，一旦感染，将自动删除并格式化电脑除系统文件以外的所有文件，且恢复难度较大，请各单位加强防范，具体情况如下：

一、Incaseformat病毒相关情况

此类病毒最早仅隐藏电脑文件，并不会随意删除用户文件，但本次爆发的病毒携带一个定时器触发功能，此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项并退出，下次开机启动后约20s就通过DeleteFileA和RemoveDirectory代码删除文件和目录，导致除C盘之外的其他磁盘文件都被删除，被删除的分区根目录下均被创建名为“incaseformat”的空文本文档。

此次爆发的病毒与传统的蠕虫病毒不同，不仅进行了“超真实”文件夹图标伪装和原始文件隐藏，incaseformat病毒还会创建和文件夹内同名的exe可执行文件。更可怕的是该病毒还设置了定时删除文件的逻辑，该病毒大约20秒检测一次时间，随即开始删除磁盘文件。经对病毒计时器时间分析，该病毒在2021年1月23日、2月4日等期间还会爆发。

二、排查整改要求

鉴于上述病毒影响范围大，潜在危害程度高，建议各单位立即开展排查整改，对爆发的蠕虫病毒进行查杀，确保本单位网络安全平稳运行。一是立即对办公电脑进行病毒查杀,病毒查杀前先将病毒库更新到最新版本，然后进行全盘查杀，该病毒原始文件名为“ttry.exe”“tsay.exe”；二是目前360、奇安信等安全厂商已经上线incaseformat病毒专杀工具，下载地址为http://dl.qianxin.com/skylar6/FocusTool.latest.zip。下载此专杀工具对病毒进行查杀；三是严格规范U盘使用管理，原则上U盘不得交叉使用。