昨天大量用户发现自己的磁盘分区所有文件被清空 , 除系统盘外其他盘均如此并且出现名为Incaseformat的文件。

这实际上就是盘踞在学校内网和打印机店的经典蠕虫病毒，该病毒会在预定的时间内发作然后执行清除文件动作。

同时病毒感染后还会仿冒用户的文件夹和文件以迷惑用户，各高校和企业是此蠕虫病毒感染的重灾区受害者较多。

理论上说用户只要安装杀毒软件就可以防御这款老病毒，但部分用户可能担心文件被误杀而将仿冒的病毒添加白名单。

为什么之前没被删文件：

让安全公司比较头疼的是该病毒会仿冒用户的文件，当用户点击仿冒版本后病毒也会将其自动跳转到正确的文件。

这就导致杀毒软件在检测报毒时可能会被用户干预而中止，例如有些用户担心自己的文件被删就会添加信任区中。

殊不知这其实是该病毒的诡计这样可以长时间进行潜伏，在病毒没有发作前用户虽然已经感染病毒但不影响文件。

直到病毒发作时直接删除系统盘以外的所有磁盘分区的文件，给用户造成严重影响，这也是大量用户求救的原因。

值得注意的是包括火绒安全等杀毒软件早已收录该病毒，用户只需要安装这些杀毒软件更新病毒库即可进行查杀。

部分高校电脑虽然安装杀毒软件但常年不联网不维护导致这些电脑成为蠕虫节点，师生U盘连接就会被迅速感染。

感染后病毒长时间潜伏直到预定发作日期才进行破坏性活动 ,  值得注意的是该蠕虫病毒下次发作时间为1月23日。

1月23日前必须清理该病毒：

火绒安全工程师经分析后发现该病毒还会继续发作，所以用户必须在指定日期前将病毒清理干净否则文件继续删。

分析表明这款2014年就被火绒收录的蠕虫病毒其实存在缺陷，其设定发作时间有误导致 2021年1月13日 才发作(才潜伏这么久没有引起用户重视)。

但接下来该蠕虫还会继续定期发作用户必须及时处理，处置方法也很简单只需安装火绒安全(https://www.huorong.cn/)等杀毒软件进行查杀即可。

需要提醒的是：为确保彻底查杀请清空杀毒软件的信任区然后执行全盘扫描，确保该蠕虫被清理干净而不是潜伏。