破坏数据病毒win7-(破坏数据的病毒)

来源：191路由网 2022-12-17 16:28:44

破坏数据病毒win7 (破坏数据的病毒)

1月13日，一款名为incaseformat的变种病毒在网络上开始蔓延，该电脑病毒表现出来的直接症状为将电脑C盘外其余盘中的所有文件都会给彻底清空删除，桌面上的文件图标变为无法打开的快捷方式。

根据数据恢复同行之间的交流可知，在1月13日一天之内，全国范围内多地均有出现，且中招的数量非常庞大，每个做数据恢复的公司基本都会遇到几十例以上。

经过我们西安古诚数据恢复中心与其他专业人员对该病毒进行分析探究后，得出部分结论，现分享给大家：

1、病毒简介

病毒名称：incaseformat.log

病毒属性：蠕虫病毒

危害等级：高危（严重影响用户数据安全）

传播范围：全国各省多地均发现有中毒案例，范围广，爆发猛（一个电脑中招，关联电脑均会中毒）

系统相关：根据目前可接触到的大部分案例得知，中毒的电脑系统多为Win7系统，暂电脑未发现Win10系统中毒，推测该病毒可能是通过Win7系统中的某个GHOST漏洞入侵

2、病毒执行过程

该病毒在通过系统漏洞入侵电脑系统后，并不会立即执行删除文件操作，首先是将自身复制到Windows目录下，并自动创建RunOnce注册表值，设置自动开机，且伪装成系统文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa，

值为C:\windows\tsay.exe

然后，该病毒在Windows目录下，开始执行，将自身再次在注册表中进行注册HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1；

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0并隐藏自身属性。

最终，该病毒开始删除系统盘外的所有文件，在根目录中留下incaseformat.log文件。

3、防护方案

A、将重要资料多进行备份，拷贝到安全的移动硬盘或者U盘、云盘当中，断网保存；

B、不要下载来源不明的未知软件电脑，且关闭电脑共享模式，隔离共享端口，避免批量出现；

C、安装杀毒软件（经测试江民杀毒软件可有效防范，其余杀毒软件在升级后应该也可有效防范）；

D、可尝试方案（暂未确定），将电脑系统升级为Windows10系统。

4、中毒后的解决方案

如果电脑已经中毒，先判断电脑里面是否有重要资料，如有重要资料，请立即断电关机，不要进行任何再写入操作，避免重要资料被新写入文件覆盖而无法恢复；如无重要资料，可安装杀毒软件进行杀毒后再进行操作；

5、中毒后的数据恢复

根据西安古诚数据恢复中心与国内顶尖数据恢复中心交流后，根据目前的情况以及病毒破坏数据的方式，得出结论为：

机械硬盘在中了incaseformat这款病毒丢失数据后，大部分都可以恢复出来；固态硬盘因其存储结构和原理的特殊性，在中incaseformat毒后丢失的内容依目前的技术暂时无法恢复出来。

采用恢复软件恢复情况：恢复方式为扫描式恢复，恢复文件完整度中等，恢复后的文件多为按类型分布，大都无法还原原来的目录结构，且有部分文件会无法正常打开使用；

专业恢复公司恢复情况：恢复方式为用专业设备提取底层数据，80%以上的均可还原原来的目录结构，恢复出来的文件完整度在95%以上，95%以上的文件均可正常打开使用；

西安古诚数据恢复中心，是国内为数不多的专业从事数据恢复公司之一，希望能够在数据恢复领域与您一起携手同行，为重要数据保驾护航！

点击展开全文

相关阅读