各部门：

接安徽省委网信办通知，近日，国内专网大面积爆发新型病毒（incaseformat病毒），对该病毒进行溯源和深入分析后发现，用户电脑中毒后，病毒文件通过DeleteFileA和RemoveDirectory代码实施了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出，等待重启运行，下次开机启动后约20s就开始删除用户文件。

蠕虫病毒因其会伪装成其他文件、不断复制自身的特性，具有非常强的传播性。即便被安全软件查杀，也经常会被用户错当成“误杀”，进行信任处理。提醒各位老师，若遇到安全软件频繁报毒的情况，很大概率就是感染了蠕虫病毒，不要轻易对其进行信任。

请各部门各单位高度重视，做好安全防护和病毒查杀工作：

一、及时安装火绒、360等防病毒软件，更新病毒库；

二、尽量不要使用U盘，如必须使用，请先使用安全软件关闭自动播放功能，并进行病毒扫描后再继续使用；

三、终端如发现感染应立即断网（禁用计算机网卡或拔掉网线），切勿进行关机或重启操作，使用安全产品进行全盘扫描查杀，之后再尝试使用数据恢复类软件进行数据恢复。

信息化建设与管理中心

2021年1月14日

附件：

危害等级：高危,可导致用户数据丢失。

病毒特征：遍历删除系统盘外的所有文件，在根目录下留下名为incaseformat.log的空文件。

传播方式：通过u盘，执法记录仪等usb存储设备传播(目前发现的，后续看溯源结果)由于该病毒只有在windows目录下才会执行触发删除文件行为，重启电脑会导致windows目录启动，所以在未做好安全防护和病毒查杀工作前不要重启电脑。

解决方案：

1、由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机；

2、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

3、尽量关闭不必要的共享，或设置共享目录为只读模式；

4、严格规范U盘等移动介质的使用，使用前先进行查杀；

5、信息终端安装防病毒软件(知名杀毒软件均可查杀)；

6、如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。

检查方式：

1、查看注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\中是否有msfsa的启动项；

2、查看C:\windows系统路径下是否有ttry.exe或tsay.exe。