incaseformat病毒大爆发,大量用户数据被删除
日期:2021-1-14
这两天,INCASEFORMAT 病毒大规模感染,现象为电脑中除C盘之外的其他磁盘文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。经过查看故障环境,确认问题原因是电脑中病毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除行为。其实这是比较老的一款病毒,由于编写时对某时间判断变量赋值错误,导致在2021.1.13被触发并执行文件删除的代码逻辑,就像一颗定时炸弹一样。目前数据恢复能恢复垂直记录技术(PMR)的机械硬盘,新款的叠瓦式硬盘(SMR)机械硬盘和SSD固态硬盘破坏会很严重,大多无解。