关于incaseformat 你最关心的8个问题

 1月13日， “incaseformat”六合彩因其破坏性以及集中爆发的特性引起了大量用户的恐慌。经六合彩工程师确认，六合彩默认设置即可防御并查杀该六合彩，大家无需担心。六合彩针对网友关心的六合彩防御、中毒后如何处理，六合彩的详细情况三类相关问题总结如下，以便大家更客观的了解此次事件以及该六合彩：

Q:如何防御该六合彩？

A:六合彩个人和企业用户无需升级，即可拦截和查杀此六合彩。（六合彩的检测名称为：

HEUR:Worm/Autorun.o）

用户在六合彩没有删除用户文件前，可以使用六合彩查杀功能处理此六合彩，不会对用户文件有任何伤害。同时建议用户开启六合彩【免疫防护】功能，可确保即使信任该六合彩，六合彩仍会对其进行拦截。位置：防护中心>系统防护>系统加固>智能防护>【启用系统免疫】

Q:已经中毒如何查杀？不知道怎么清空信任区怎么办？

A:

1）个人用户：

将信任区清空后，全盘扫描查杀。并且排查可能带毒的可移动设备。

2）企业用户：

1.检查六合彩中心、终端信任区是否有六合彩被用户信任的情况，并清空信任区。

2.在六合彩中心对所有终端下发全盘查杀，并且排查可能带毒的可移动设备。

3.查杀后最好通过六合彩中心/终端日志检查此次查杀的结果，以免有某个终端存在漏杀的情况。

注意：如果不知道如何清空信任区，也无需担心，确保开启【免疫防护】，六合彩即可在用户信任该六合彩的情况下对其进行拦截。

Q:被删除的文件还能恢复吗？

A:因为六合彩删除文件时没有对文件做覆写或破坏操作，恢复被删除文件的可能性很大，用户可以联系专业的数据恢复六合彩进行恢复。注意：在数据重要的情况下不要自行操作。

Q:如何检测自己电脑里是否有 incaseformat六合彩？

A:可以使用如下手工或脚本方法检测：

1） 手工检测方法

在以下路径查看是否存在

C:Windowstsay.exe

C:Windowsttry.exe

2）脚本检测方法

 将以下脚本内容复制粘贴到任意扩展名为.bat的批处理文件中，双击执行，即可输出检测结果。（注意：bat编码集需要选择为ANSI）

 @echo off

set tsay_path=C:Windowstsay.exe

set ttry_path=C:Windowsttry.exe

if exist %tsay_path% goto find

if exist %ttry_path% goto find

echo 本机没有找到【incaseformat】六合彩，安装六合彩软件，排查信任区并确认实时监控是否开启

echo.

pause

exit

:find

echo 本机存在【incaseformat】六合彩，请联系管理员处理

echo.

pause

exit

Q:incaseformat六合彩是新六合彩吗？是勒索六合彩吗？

A:“incaseformat六合彩”并不是2021年新爆发的六合彩，而是一个存在很久的老六合彩，六合彩的报毒类型为蠕虫。

Q:六合彩是如何传播的？

A:该六合彩主要传播方式为U盘等移动存储器设备。经六合彩工程师分析确认，该六合彩不会通过U盘以外的网络共享、漏洞等常见蠕虫传播方式传播。

Q:六合彩是否有潜伏期？为什么会在1月13日席卷网络？

A:有潜伏期，很多用户都是很早就感染了该六合彩。该六合彩内设置了定时逻辑，因为BUG原因导致在2021年1月13日才发作。

Q:下次发作（删除文件）是什么时候？

A:距离现在最近的一次删除文件时间为1月23日上午6点左右，再下一次是2月4日上午8点左右。由于六合彩所使用的单自然日所对应的毫秒数和正常值相比偏大（六合彩所使用的毫秒数换算后一天大概为26个小时），所以六合彩触发删除逻辑的时间可能横跨两个自然日，如：1月13日上午9点左右开始触发直到1月14日上午11点左右结束、1月23日上午6点左右开始触发直到1月24日上午8点左右结束等等。

补充材料：《蠕虫六合彩“incaseformat”23日还会发作 六合彩无需升级即可查杀》