各单位（部门）：

近日全国各地发生多起办公电脑感染incaseformat病毒导致所有非系统分区文件被删除的网络安全事件，涉及政府、医疗、教育、运营商等多个行业。此病毒危害较大，一旦感染，将自动删除并格式化电脑除系统文件以外的所有文件，且恢复难度较大，请各单位加强防范，具体情况如下：

一、Incaseformat病毒相关情况

此类病毒最早仅隐藏电脑文件，并不会随意删除用户文件，但本次爆发的病毒携带一个定时器触发功能，此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项并退出，下次开机启动后约20s就通过DeleteFileA和RemoveDirectory代码删除文件和目录，导致除C盘之外的其他磁盘文件都被删除，被删除的分区根目录下均被创建名为“incaseformat”的空文本文档。

此次爆发的病毒与传统的蠕虫病毒不同，不仅进行了“超真实”文件夹图标伪装和原始文件隐藏，incaseformat病毒还会创建和文件夹内同名的exe可执行文件。更可怕的是该病毒还设置了定时删除文件的逻辑，该病毒大约20秒检测一次时间，随即开始删除磁盘文件。经对病毒计时器时间分析，该病毒在2021年1月23日、2月4日等期间还会爆发。

二、病毒查杀方法

鉴于上述病毒影响范围大，潜在危害程度高，建议各单位按照如下方法对本单位办公电脑查杀：

1.立即对办公电脑进行病毒查杀,病毒查杀前先将病毒库更新到最新版本，然后进行全盘查杀，该病毒原始文件名为“ttry.exe”、“tsay.exe”。

2.如发现已经感染此病毒，请勿重启电脑，立即专杀工具查杀。专杀工具见附件。

3.严格规范U盘使用管理，原则上U盘不得交叉使用。