关于1月13日外网出现较大规模磁盘文件被删除的通告
1月13日,360安全卫士团队收到大量用户反馈,电脑中除C盘之外的其他磁盘文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。
经过查看故障环境,确认问题原因是电脑中病毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实现了删除文件和目录的行为。
此病毒启动后将自身复制到C:WINDOWStsay.exe并创建启动项退出,等待重启运行电脑怎么格式化,下次开机启动后约20s就开始删除行。
发现文件不见了但空间占用还正常的,不要重启,清空安全卫士信任区后全盘杀毒即可。
360安全卫士早已支持此病毒的拦截和查杀,但因故障环境中都存在病毒文件被加入到信任区,导致病毒文件不能被及时查杀。
作恶的病毒文件:
病毒以及病毒创建的exe被加入到了信任区:
针对此问题,需要先清空安全卫士的信任区,然后全盘杀毒并按照提示处理并重启电脑。
重启后建议在全盘扫描一次,确保电脑中没有病毒,然后在安全卫士–功能大全中搜索“文件恢复”尝试恢复数据,或者联系专业的数据恢复人员协助处理。
PS:有用户说恢复文件无法使用的,这里说明一下:
数据恢复都不能保证100%的恢复成功,即便恢复出来也不能保证文件一定能正常使用。
如果使用360文件恢复无法恢复或者恢复的文件无法使用,建议联系专业的数据恢复人员试试。
病毒特征与“格式化分区病毒”很相似,但是360安全卫士的通告中说的却没有那么可怕,病毒只是执行了删除,并没有进行覆盖写入等操作,那么数据基本就是可以恢复的了。
格式化分区病毒是一种恶性网络病毒,该病毒一旦感染你的计算机你硬盘中的资料就会永远被破坏掉,它不同于一般的格式化分区,它会在格式化分区之后对硬盘进行反复的读写操作,造成资料的永久损坏是数据恢复软件无法修复的,如果你发现硬盘突然只剩下C盘,那你硬盘中的资料就找不到了。该病毒隐蔽的很好,会在发作后自行删除。
在百度知道的一个问题,可以看出此病毒早在2009年就已经有了
360安全卫士的通告也没有介绍病毒的传播方式,从一篇“incaseformat病毒解决方法”中得知,这病毒可以通过U盘传播。以下引用部分内容:
我本来是一个计算机小白,凭借多年的被坑蒙拐骗经验初步判断了一下电脑怎么格式化,我首先用电脑自带的McAfee查了一下病毒,发现它把我所有的被感染文件全隔离了,这岂不是意味着我的资料都没了?那肯定不行,所以我先把杀毒软件退了,免得它误导我操作。
然后我大概了解了一下这个病毒的作用机理,整理如下:
首先incaseformat病毒是通过全盘镜像来起作用的,有一个负责在文件夹内生成这一病毒的进程,incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字:文件夹图标病毒。
这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己,并且用所在文件夹的名字给自己命名,然后把自己复制满你的文件夹,保证每个文件夹下都有木马。蠕虫会感染你的exe文件,也就是可执行程序,然后让你在点击这个文件的时候,启动木马来传播到别的文件夹中。
这个病毒的核心作用机理在于,将你的实际文件全部强制隐藏掉,而用一个大小一样的.exe文件来出现在原有的位置,让你误以为这个文件就是原来的文件。如下图所示:
你可以在文件资源管理器的查看选项卡最右侧一栏显示/隐藏那一块勾选文件扩展名这一条,来看看你现在文件夹里面被感染的文件是什么样子,不出意外的话,这个都是.exe。这些其实不是你的文件,而是病毒创造出来的钓鱼图标。
文件夹图标病毒
文件夹图标病毒不是一个病毒,而是具有类似性质的病毒的统称,此类病毒会将真正的文件夹隐藏起来,并生成一个与文件夹同名的EXE文件,并使用文件夹的图标,使用户无法分辨,从而频繁感染,一些用户的文件夹被隐藏影响正常的工作与学习。
U盘病毒
如果是U盘中病毒了,那么首先要设置电脑插入USB设备后自动运行。
防范中病毒的方式就是不要双击打开U盘,而是右键–打开。
数据恢复
关于数据恢复,如果发现出问题了,最好尽快关闭电脑,防止病毒继续运行造成更多的破坏,防止自己不当的操作导致原本有文件的位置被覆盖。然后准备WinPE U盘启动盘从U盘启动,恢复数据时并恢复到外部存储设备。
娜娜项目网每日更新创业和副业教程
网址:nanaxm.cn 点击前往娜娜项目网
站 长 微 信: nanadh666
娜娜项目网每日更新创业和副业教程
网址:nanaxm.cn 点击前往娜娜项目网
站 长 微 信: nanadh666