2021年1月13日，技术监测发现国内多个区域不同行业用户电脑主机遭到一种名为incaseformat的蠕虫病毒感染，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会删除除系统盘外的所有磁盘文件，对用户造成不可挽回的损失。请个部门教师对办公及个人电脑进行风险排查，并参照如下建议开展处置工作。

1. 主机排查

排查主机Windows目录下是否存在图标为文件夹的tsay.exe文件，若存在该文件，及时删除即可，删除前切勿对主机执行重启操作。

2．数据恢复

切勿对被删除文件的分区执行写操作，以免覆盖原有数据，然后使用常见的数据恢复软件（如：Finaldata、recuva、DiskGenius等）即可恢复被删除数据。

3．病毒清理

由于病毒出现年份较早，主流杀毒软件均可对该病毒进行查杀，用户也可通过手动方式进行清理修复。

 

由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：

1、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

2、尽量关闭不必要的共享，或设置共享目录为只读模式；深信服EDR用户可使用微隔离功能封堵共享端口；

3、严格规范U盘等移动介质的使用，使用前先进行查杀；

4、如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。