2021年1月13日，深信服、360、火绒安全实验室等国内安全公司对外发布预警，称一种名为incaseformat的蠕虫病毒在国内爆发。

深信服称，该蠕虫病毒早在2014年就已经爆发。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误，最终导致 DecodeDate 计算转换出的系统当前时间错误。

该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

病毒名称：incaseformat

病毒性质：蠕虫病毒

影响范围：多省市多行业发现感染案例，有规模爆发趋势

危害等级：高危，可导致用户数据丢失

病毒描述

经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

深信服解决方案

由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，深信服安全团队建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：

1、  不要随意下载安装未知软件，尽量在官方网站进行下载安装；

2、  尽量关闭不必要的共享，或设置共享目录为只读模式；深信服EDR用户可使用微隔离功能封堵共享端口；

3、  严格规范U盘等移动介质的使用，使用前先进行查杀；

4、  如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。深信服为广大用户提供免费查杀工具，可下载如下工具，进行检测查杀：

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

与此同时，深信服安全感知平台、下一代防火墙、EDR用户，建议及时升级最新版本，并接入安全云脑，使用云查服务以及时检测防御新威胁。

火绒安全实验室分析

火绒安全实验室工程师称，此次的病毒与常见的蠕虫病毒不同，除了具有伪装文件夹图标，隐藏原始文件夹的危害以外，还设置了定时删除文件的逻辑。一旦满足设定的时间，将会删除用户电脑中除C盘之外的其他盘符的所有文件，并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因，是因为这些用户对该病毒进行了信任，或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。

不仅如此，该病毒设定的删除日期不止今天（1月13日），距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒，将面临再次被删除的危害。建议广大用户及时使用火绒安全软件全盘扫描（清空信任区）进行排查。对于未安装火绒已经中毒的用户，建议清空信任区后进行全盘扫描查杀。

2014年火绒对该样本的收录和检测

判断系统时间执行全盘文件删除相关代码

病毒所使用的有问题的 DateTimeToTimeStamp 相关代码

病毒传播相关代码

蠕虫病毒因其会伪装成其他文件、不断复制自身的特性，具有非常强的传播性。即便被安全软件查杀，也经常会被用户错当成“误杀”，进行信任处理。也因此，蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。火绒工程师再次提醒广大用户，若遇到安全软件频繁报毒的情况，很大概率就是感染了蠕虫病毒，应第一时间咨询安全厂商，不要轻易对其进行信任。

参考资料：

深信服：https://mp.weixin.qq.com/s/pH0Eow7Bek_DlT0YyEbUmQ

火绒安全实验室：https://mp.weixin.qq.com/s/ErsPyxZ_QPDAnC9fRG1ATQ

360安全：https://bbs.360.cn/thread-15952254-1-1.html

喷印技术：https://mp.weixin.qq.com/s/_KiiqXB7tXYVwhZC3TbMhg