当前位置: 首页 > 网络安全 > 网络安全实用知识 > 正文

Incaseformat病毒简单处理方式

日期:2021-01-14阅读:

一.行为分析

该病毒可通过U盘等可能的文件共享行为进行传播,病毒会伪装成正常文件夹,诱导用户点击,双击后会打开与伪装文件夹同名的隐藏文件夹,且第一次运行仅进行病毒复制操作,不会有恶意行为,防止用户发现异常。

该病毒的具体行为为:

1、将自身设置文件夹图标,隐藏exe后缀名,诱导用户点击。

2、当用户运行时该病毒会将本身复制到C盘windos文件下并重命名为ttry.exe或tsay.exe,并设置一次性开机自启,在下次重启后执行tsay.exe或ttry.exe,此时病毒才会进行恶意行为。

3、打开与病毒同名的文件夹(一般为隐藏文件夹)。

4、重启后循环遍历除C盘外其他磁盘的文件,找到文件夹后,复制病毒到当前找到文件夹相同的位置,名称与当前找到的文件夹相同,然后删除全盘文件。(一般的伪装文件病毒此处的操作应该是隐藏对应文件夹,诱导用户点击,以继续传播病毒)。

二、病毒拦截设置

文件落地之后会出现病毒弹窗,杀毒软件可以对病毒文件进行文件监控。其主要的进程是ttry.exe和tsay.exe

00a227f34d29213580935912f3ef3fa

当病毒运行时,杀毒软件会提示病毒正在修改注册表:该病毒会修改注册表设置隐藏对于的文件夹并伪装。

三、处理方案

1.如果为出现病毒现象,实时防护设置发现病毒由您来处理,建议进行设置扫描所有文件进行全盘查杀,出现病毒弹窗时结束掉对应进程,立即清除之后处理。

2.对于出现的病毒现象的主机直接全盘查杀,之后使用数据恢复工具尝试修复。不建议直接重启

建议大家进行文件传输时,使用专业杀毒软件进行查杀之后再打开保证传输的文件正常。

我是盾盾