格格病毒（incaseformat）今日发作，电脑中招后，除系统C盘以外其他文件全部被删除。奇安信CERT研判，该病毒为多年前的老病毒，不具网络传播性，奇安信天擎可支持该病毒查杀和预防，已安装天擎用户不受任何影响，不必恐慌。

奇安信安全团队发现，格格病毒通过U盘等移动存储介质传播，具备定时删除文件的能力，会在特定时间定时发作，删除电脑中除C盘之外的其他盘符中的所有文件，并在磁盘根目录创建“incaseformat.txt”文本文档。

奇安信安全专家表示，关于此次格格病毒发作事件，有以下四个需要注意的事实：

1. 今天是一个“病毒发作事件”，不是“病毒传播事件”。这个病毒类似“定时炸弹”，如果在机器中潜伏，今天会发作。

2. 病毒没有网络传播性，不必恐慌。它是通过U盘和文件共享传播的老病毒，最早出现在几年前，一般没有安装杀毒软件的电脑才会中招。

3、因为该病毒定时发作，如果今天未开电脑，建议明日再开机杀毒。

4、对于已经中招的电脑，把专杀放在U盘上启动，待杀毒完成后，可请专业公司恢复数据。

病毒相关信息如下：

【恶意程序家族】：incaseformat

【关键字】：#incaseformat.txt    #tsay.exe   #ttry.exe  

【家族详情】：

病毒类型：蠕虫

传播方式：

1. U盘隐藏正常文件夹，并替换为同名样本母体

行为特征：

1.     运行后拷贝副本至C:windows say.exe、C:windows try.exe

2.     创建注册表启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa  C:windows say.exe

3.     重启后启动项中的母体文件运行，并删除系统盘以外盘符所有文件，然后释放大小为0kb的文件incaseformat.txt。

安全防护建议：

1. 提高员工安全意识，使用U盘前用杀毒软件进行病毒扫描后再使用；也可以通过管控功能禁止不明移动存储设备进入内网。

2. 提升内网杀毒软件覆盖率，确保主要终端和服务器均安装有杀毒软件，并定期更新病毒库到最新。

3. 对于不慎感染的终端，使用奇安信天擎进行全盘查杀。查杀前确认信任区是否不明文件，清理信任区之后再进行全盘扫描。

尚未安装的奇安信天擎的用户，可以使用奇安信“格格病毒”（incaseformat）专杀工具，对系统进行全盘扫描，并清除病毒。清理完病毒之后尝试使用专业数据恢复工具或寻找第三方数据恢复公司进行数据恢复。

      专杀工具下载地址：

      http://dl.qianxin.com/skylar6/FocusTool.latest.zip