近期，一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会对除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

一、病毒检测方法：

1、查看注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\中是否有msfsa的启动项；

2、查看C:\windows系统路径下是否有ttry.exe或tsay.exe。

二、病毒防御处置：

由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：

1、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

2、尽量关闭不必要的共享，或设置共享目录为只读模式；

3、严格规范U盘等移动介质的使用，使用前先进行查杀；

4、可以下载火绒安全或深信服提供免费查杀工具，进行检测查杀；

5、如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件；

6、跨介质（U盘，移动硬盘，云盘）备份个人重要文件。

火绒杀毒软件下载链接：

https://www.huorong.cn/person5.html

深信服查杀工具：

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z