我聲明此文章為轉(zhuǎn)載

事件經(jīng)過

2021年5月初，寶中2019級(jí)高二第二學(xué)期期中考試過后，在整理排版成績(jī)單的過程中，同辦公室的一名教師發(fā)現(xiàn)自己電腦除C盤之外，其他硬盤的文件均被刪除。

這名教師在發(fā)現(xiàn)文件消失后，立刻請(qǐng)本班的學(xué)生來恢復(fù)文件并殺毒。出于興趣，筆者在檢查該機(jī)時(shí)，發(fā)現(xiàn)硬盤根目錄存在被Fakefolder（又名increaseformat）病毒感染的文件夾以及increaseformat.txt（病毒發(fā)作留下的文件）。被刪除的數(shù)據(jù)很難恢復(fù)。

病毒原理

該病毒主要通過感染U盤中的文件夾傳播。當(dāng)用戶打開被感染的文件夾時(shí)，病毒就會(huì)隱藏電腦和U盤中的文件夾，并將自己偽裝成原文件夾。

該病毒已有十幾年的歷史，從2010年愚人節(jié)開始，每隔幾天便刪除用戶文件，由于編寫問題，從2021年才開始發(fā)作。電腦被病毒感染后，每隔20秒就會(huì)檢測(cè)系統(tǒng)日期，滿足邏輯則執(zhí)行刪除操作。

防范措施

推測(cè)寶中目前的病毒傳播路徑：打印店或?qū)W生家長(zhǎng)所在單位→初中微機(jī)教室→寶中打印部→各班及教師電腦。

此前筆者已經(jīng)在多名教師的U盤及寶中打印部中發(fā)現(xiàn)此病毒，且筆者的u盤也多次遭遇該病毒感染，所幸殺毒及時(shí)，并未造成數(shù)據(jù)損失。

病毒的辨識(shí)方法：被病毒感染的文件夾圖標(biāo)為（XP的）“上下打開”樣式（類似風(fēng)琴包），而正常的文件夾圖標(biāo)為（Vista的）“左右翻開”樣式（類似資料冊(cè)、文件盒）。若發(fā)現(xiàn)硬盤和U盤中的文件夾被感染，請(qǐng)及時(shí)安裝殺毒軟件進(jìn)行殺毒。

附：安全打開感染文件夾的方法

XP：打開資源管理器（我的電腦），在菜單欄選擇“工具”→“選項(xiàng)...”，在“查看”選項(xiàng)卡中選擇“顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”，清除勾選“隱藏已知文件的擴(kuò)展名”，單擊確定，打開隱藏（淡）的文件夾。

Vista：打開“計(jì)算機(jī)”，在“組織”菜單中打開“文件夾和搜索選項(xiàng)”，在“查看”選項(xiàng)卡中選擇“顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”，取消勾選“隱藏已知文件的擴(kuò)展名”，點(diǎn)擊確定，忽略帶有“.exe”后綴的病毒（請(qǐng)及時(shí)殺毒），打開被隱藏的文件夾即可。

Win8/10：打開“此電腦”，在“查看”選項(xiàng)卡中打開“選項(xiàng)”，在“文件夾選項(xiàng)”中的“查看”選項(xiàng)卡中選擇“顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”，取消勾選“隱藏已知文件的擴(kuò)展名”，點(diǎn)擊確定，忽略帶有“.exe”后綴的病毒（請(qǐng)及時(shí)殺毒），打開被隱藏的文件夾即可。

Win11：打開文件資源管理器，單擊上端三個(gè)點(diǎn)的圖標(biāo)→選項(xiàng)，在“查看”選項(xiàng)卡中選擇“顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”，取消勾選“隱藏已知文件的擴(kuò)展名”，確定，打開被隱藏的文件夾。

Win7：請(qǐng)先升級(jí)系統(tǒng)

另：原文中的打開方法有可能無效，因?yàn)椴《具€會(huì)時(shí)刻監(jiān)測(cè)文件夾選項(xiàng)（文件資源管理器選項(xiàng)），應(yīng)該先用任務(wù)管理器結(jié)束病毒主進(jìn)程，該變種是tsay.exe和ttry.exe，UP還見過360safe.exe和360safebox.exe的。結(jié)束進(jìn)程后再改文件夾選項(xiàng)。

殺毒方法，同樣先結(jié)束進(jìn)程，改文件夾選項(xiàng)，然后去各個(gè)盤（包括U盤）刪除所有.exe擴(kuò)展名的病毒，然后在每個(gè)盤里按住Shift的同時(shí)在空白處右鍵→打開命令窗口（如果是PowerShell窗口，請(qǐng)打開PowerShell窗口，然后輸入cmd然后回車），輸入FOR /D %A IN (*) DO ATTRIB -H -S %A然后按回車。（文件夾的屬性不能去除“系統(tǒng)”屬性，因此也不能去除“隱藏”屬性），然后去系統(tǒng)目錄C:\Windows（有的變種是C:\Windows\System32），刪除病毒主程序文件，圖標(biāo)是XP的文件夾圖標(biāo)，文件名是剛結(jié)束進(jìn)程的進(jìn)程名，再開始→運(yùn)行（Win8/10/11：右鍵開始→運(yùn)行），輸入regedit，確定，定位到HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在右邊刪除病毒添加的啟動(dòng)項(xiàng)（自己辨別）