1月13日， “incaseformat”病毒因其破壞性以及集中爆發的特性引起了大量用戶的恐慌。經火絨工程師确認，火絨默認設置即可防禦并查殺該病毒，大家無需擔心。我們針對用戶關心的病毒防禦、中毒後如何處理，病毒的詳細情況三類相關問題總結如下，以便大家更客觀的了解此次事件以及該病毒：

A:火絨個人和企業用戶無需升級，即可攔截和查殺此病毒。

（火絨的檢測名稱為：HEUR:Worm/Autorun.o）

用戶在病毒沒有删除用戶文件前，可以使用火絨查殺功能處理此病毒，不會對用戶文件有任何傷害。同時建議用戶開啟火絨【免疫防護】功能，可确保即使信任該病毒，火絨仍會對其進行攔截。位置：防護中心>系統防護>系統加固>智能防護>【啟用系統免疫】

A:1）個人用戶：

将信任區清空後，全盤掃描查殺。并且排查可能帶毒的可移動設備。

2）企業用戶：

1.檢查火絨中心、終端信任區是否有病毒被用戶信任的情況，并清空信任區。

2.在火絨中心對所有終端下發全盤查殺，并且排查可能帶毒的可移動設備。

3.查殺後最好通過火絨中心/終端日志檢查此次查殺的結果，以免有某個終端存在漏殺的情況。

注意：如果不知道如何清空信任區，也無需擔心，确保開啟【免疫防護】，火絨即可在用戶信任該病毒的情況下對其進行攔截。

A:因為病毒删除文件時沒有對文件做覆寫或破壞操作，恢複被删除文件的可能性很大，用戶可以聯系專業的數據恢複公司進行恢複。注意：在數據重要的情況下不要自行操作。

A：可以使用如下手工或腳本方法檢測：

1） 手工檢測方法

确認系統是否存在以下文件，存在則有incaseformat病毒。

C:\Windows\tsay.exe

C:\Windows\ttry.exe

2）腳本檢測方法

将以下腳本内容複制粘貼到任意擴展名為.bat的批處理文件中，雙擊執行，即可輸出檢測結果。（注意:bat編碼集需要選擇為ANSI）

@echo off

set tsay_path=C:\Windows\tsay.exe

set ttry_path=C:\Windows\ttry.exe

if exist %tsay_path% goto find

if exist %ttry_path% goto find

echo 本機沒有找到【incaseformat】病毒，安裝安全軟件，排查信任區并确認實時監控是否開啟

echo.

pause

exit

:find

echo 本機存在【incaseformat】病毒，請聯系管理員處理

echo.

pause

exit

A:“incaseformat病毒”并不是2021年新爆發的病毒，而是一個存在很久的老病毒，火絨的報毒類型為蠕蟲。

A:該病毒主要傳播方式為U盤等移動存儲器設備。經火絨工程師分析确認，該病毒不會通過U盤以外的網絡共享、漏洞等常見蠕蟲傳播方式傳播。

A:有潛伏期，很多用戶都是很早就感染了該病毒。該病毒内設置了定時邏輯，因為BUG原因導緻在2021年1月13日才發作。

A:距離現在最近的一次删除文件時間為1月23日上午6點左右，再下一次是2月4日上午8點左右。

由于病毒所使用的單自然日所對應的毫秒數和正常值相比偏大（病毒所使用的毫秒數換算後一天大概為26個小時），所以病毒觸發删除邏輯的時間可能橫跨兩個自然日，如：1月13日上午9點左右開始觸發直到1月14日上午11點左右結束、1月23日上午6點左右開始觸發直到1月24日上午8點左右結束等等。

補充材料：

《蠕蟲病毒“incaseformat”23日還會發作 火絨無需升級即可查殺》