鸿萌案例：恢复 incaseformat 蠕虫病毒攻击的数据

     最近，一种名为 incaseformat 的蠕虫病毒爆发，运行后病毒母体从 Windows 目录执行，会将除系统盘外的其他所有分区的文件删除。该病毒并不是新型病毒，但对企业、政府和教育部门危害很大。

incaseformat本质是勒索软件

     据悉，这至少是个 2014 年的老病毒。因为该病毒所使用的 delphi 库中的DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误，最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因，该样本作为一个老病毒，直到 2021 年 1 月 13 日才触发删除用户文件的代码逻辑，该病毒设定的活动日期不止 1 月 13 日，距离最近的下一次删除时间为1月23日，所以未被攻击也不能掉以轻心。面对此次病毒攻击，除了需要注意日常防范，还要提前对文件和主机系统进行备份。

     今天，鸿萌接到客户遭受 incaseformat 攻击导致数据丢失的案例，中毒后客户除 C 盘之外的所有分区均如下图所示：

客户遭受 incaseformat 攻击导致数据丢失

中毒后，客户不要在丢失数据的硬盘上做任何的写入操作，鸿萌可以提供这种病毒造成的数据丢失的数据恢复服务。