各单位、各部门：

近日，一种名为Incaseformat蠕虫病毒在国内爆发扩散，该蠕虫病毒执行后将删除被感染计算机所有非系统盘文件，对用户造成不可挽回的损失。建议各用户做好U盘接入防护以及Incaseformat蠕虫病毒的查杀工作。

病毒描述：

Incaseformat蠕虫病毒主要通过U盘等移动介质传播，且具有伪装正常文件夹行为。该蠕虫病毒在非Windows目录下执行时并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，并创建RunOne注册表值设置开机自启。

注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfs，值: C:\windows\tsay.exe。

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt ->0x1；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue ->0x0；

当触发条件达到后，该蠕虫病毒将自动运行并遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件。

安全建议：

1.为操作系统安装防病毒软件，并更新病毒库到最新版本，定期执行病毒查杀任务；

2.接入U盘等移动介质前应先对其进行查杀；

3.不点击来源不明的邮件以及附件，尤其是如下扩展名的附件：.js, .vbs, .exe, .scr, or .bat，可能包含密码抓取工具或其他木马病毒；

4.对个人电脑的操作系统口令和各单位自行管理的信息系统口令进行修改，加强口令强度和口令复杂度；

5.及时更新windows系统补丁；

6.如发现已感染病毒，应先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

针对校内公共机房和实验室内的公共电脑，请负责单位安排专职人员安装杀毒软件，并定时更新病毒库、为操作系统打补丁，防止服务器、公共电脑成为病毒传播的媒介。

如有个人电脑感染蠕虫病毒，请首先自行断开网络，然后及时向信息化工作办公室报告，联系电话58997810。

信息化工作办公室

2021年1月14日