近日，大量PC端的Windows系统用户因感染了名为IncaseFormat的古老蠕虫病毒，除系统盘外的文件全部被删除。通过研究和分析，确认IncaseFormat蠕虫病毒主要通过U盘等介质传播，本次事件是其潜伏期结束后定时触发的删除文件行为。PC端用户遭遇了IncaseFormat的袭击，“云上”用户能否逃过一劫？

　　传播靠U盘，云上更安全

　　通过对该病毒家族样本进行分析，可以确定病毒的主要传播途径为U盘等移动存储介质传播，而在云端并不具备传染介质和途径，因此云上主机不受该传播途径影响，云上安全更胜一筹！

　　专属云、混合云的主机用户也不用慌，华为云已将该家族样本添加至规则库中，可针对IncaseFormat蠕虫病毒进行精准防御，用户只需配置华为云企业主机安全（企业版）并开启防护，即可有效识别和一键隔离查杀病毒。

　　既要主机安全，也要数据安全

　　被IncaseFormat蠕虫病毒感染的用户，除系统盘外的文件全部被删除。侥幸的是，用户可使用常见的数据恢复软件恢复被删除数据。

　　但安全不应只是侥幸！华为云企业主机安全兼具防篡改功能，可实时发现并拦截篡改指定目录下文件的行为，保护指定文件不被删除，防范于未然。

　　病毒仍在潜伏期，安全防护要加急

　　样本分析显示该病毒仍然在潜伏期内，以后每个月都会爆发，预计下次删除文件的功能代码启动时间为2021年1月23日，华为云安全团队建议广大用户及时做好以下安全防护工作：

　　1、做好排查工作。如果主机存在如下的进程和文件（文件图标为文件夹图标）则表示该主机已被感染。

　　进程：tsay.exe；ttry.exe

　　文件：C:\windows\tsay.exe；C:\Windows\ttry.exe

　　使用“regedit”命令打开注册表，通过“Ctrl+F”命令打开搜索框，分别搜索 “tsay.exe”和“ttry.exe”，将搜索到的所有包含该字符串的注册表键全部删除。

　　可疑移动设备接入Linux系统，查看根目录是否存在tsay.exe、ttry.exe、autorun.inf文件，发现后删除。

　　2、安装有效安全软件

　　虽然IncaseFormat蠕虫病毒在云上不具备传播能力，但存在可能的恶意样本复制、共享等传播途径，云上用户不可完全松懈。

　　华为云企业主机安全服务（HSS）助您构建服务器安全体系。HSS云端防护中心集成多种杀毒引擎，深度查杀主机中的恶意程序，也可检测出主机中未知的恶意程序和病毒变种。启动防护后，您的主机将受到HSS云端防护中心全方位的安全保障。

　　了解更多华为云企业主机安全服务，请登录华为云官网

　　转载请注明出处。