概述：

       自2021年1月13日上午開(kāi)始一種名為incaseformat的蠕蟲(chóng)病毒在國(guó)內(nèi)爆發(fā)，該蠕蟲(chóng)病毒執(zhí)行后會(huì)自復(fù)制到系統(tǒng)盤(pán)Windows目錄下，并創(chuàng)建注冊(cè)表自啟動(dòng)，一旦用戶(hù)重啟主機(jī)，使得病毒母體從Windows目錄執(zhí)行，病毒進(jìn)程將會(huì)遍歷除系統(tǒng)盤(pán)外的所有磁盤(pán)文件進(jìn)行刪除，對(duì)用戶(hù)造成不可挽回的損失。該病毒是個(gè)2007年的老病毒。因?yàn)樵摬《舅褂玫膁elphi庫(kù)中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯(cuò)誤，最終導(dǎo)致 DecodeDate 計(jì)算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時(shí)間錯(cuò)誤。也因?yàn)樯鲜鲈颍摌颖咀鳛橐粋€(gè)老病毒，直到2021年1月13日才觸發(fā)刪除用戶(hù)文件的代碼邏輯，下一個(gè)觸發(fā)時(shí)間是2021年1月23日。

簡(jiǎn)單分析：

incaseformat蠕蟲(chóng)病毒通過(guò)以下步驟入侵你的數(shù)據(jù)：

1、自動(dòng)將本程序代碼復(fù)制到系統(tǒng)盤(pán)符下的windows目錄中（C：/windows/tsay/tsay.exe）
2、在注冊(cè)表中自動(dòng)創(chuàng)建開(kāi)機(jī)自動(dòng)啟動(dòng)的服務(wù)
（HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOncemsfsa）
3、病毒在下次用戶(hù)開(kāi)機(jī)啟動(dòng)后約20s就開(kāi)始自動(dòng)刪除文件，通過(guò)DeleteFileA和RemoveDirectory代碼實(shí)現(xiàn)對(duì)計(jì)算機(jī)非系統(tǒng)盤(pán)符外的所有存儲(chǔ)區(qū)域進(jìn)行文件刪除
4、所有文件夾都被隱藏，只留下一個(gè)“incaseformat”文本文檔

處理方式：

特別提醒用戶(hù)，該病毒1月23日、2月4日還會(huì)發(fā)作，請(qǐng)?jiān)诖酥斑M(jìn)行查殺！

已經(jīng)安裝360安全衛(wèi)士的用戶(hù)無(wú)需升級(jí)即可查殺該病毒！

未安裝用戶(hù)可通過(guò)360軟件管家安裝任一版本360安全衛(wèi)士，或安裝360最新上線的"incaseformat"病毒專(zhuān)殺工具！

專(zhuān)殺工具最新下載地址：http://softdl.360tpcdn.com/auto/20210114/2000002851_e4fb3308216a5d8f7f081ac3d6629c8d.exe

此次有大量用戶(hù)被刪文件的原因，是因?yàn)檫@些用戶(hù)誤將病毒文件加入到信任區(qū)，或者根本沒(méi)有安裝安全軟件，該病毒很可能已經(jīng)在用戶(hù)電腦中潛伏十年以上。

發(fā)現(xiàn)文件不見(jiàn)了但空間占用還正常的，不要重啟，清空安全衛(wèi)士信任區(qū)后全盤(pán)殺毒即可。

如已經(jīng)重啟或硬盤(pán)空間減少的情況，請(qǐng)立即切斷電源，不要對(duì)硬盤(pán)進(jìn)行讀寫(xiě)操作，并向?qū)I(yè)數(shù)據(jù)恢復(fù)人員求助。

對(duì)于不確定有無(wú)中毒的用戶(hù)，建議使用安全衛(wèi)士-木馬查殺-全盤(pán)掃描。