事件经过
2021年5月初,宝中2019级高二第二学期期中考试过后,在整理排版成绩单的过程中,同办公室的一名教师发现自己电脑除C盘之外,其他硬盘的文件均被删除。
这名教师在发现文件消失后,立刻请本班的学生来恢复文件并杀毒。出于兴趣,笔者在检查该机时,发现硬盘根目录存在被Fakefolder(又名incaseformat)病毒感染的文件夹以及incaseformat.txt(病毒发作留下的文件)。被删除的数据很难恢复。
病毒原理
该病毒主要通过感染U盘中的文件夹传播。当用户打开被感染的文件夹时,病毒就会隐藏电脑和U盘中的文件夹,并将自己伪装成原文件夹。
该病毒已有十几年的历史,从2010年愚人节开始,每隔几天便删除用户文件,由于编写问题,从2021年才开始发作。电脑被病毒感染后,每隔20秒就会检测系统日期,满足逻辑则执行删除操作。
防范措施
推测宝中目前的病毒传播路径:打印店或学生家长所在单位→初中微机教室→宝中打印部→各班及教师电脑。
此前笔者已经在多名教师的U盘及宝中打印部中发现此病毒,且笔者的u盘也多次遭遇该病毒感染,所幸杀毒及时,并未造成数据损失。
病毒的辨识方法:被病毒感染的文件夹图标为“上下打开”样式(类似风琴包),而正常的文件夹图标为“左右翻开”样式(类似资料册、文件盒)。若发现硬盘和U盘中的文件夹被感染,请及时安装杀毒软件进行杀毒。
附:安全打开感染文件夹的方法
Win7:打开“计算机”,在“组织”菜单中打开“文件夹和搜索选项”,在“查看”选项卡中选择“显示隐藏的文件、文件夹和驱动器”,取消勾选“隐藏已知文件的扩展名”,点击确定,忽略带有“.exe”后缀的病毒(请及时杀毒),打开被隐藏的文件夹即可。
Win10:打开“此电脑”,在“查看”选项卡中打开“选项”,在“文件夹选项”中的“查看”选项卡中选择“显示隐藏的文件、文件夹和驱动器”,取消勾选“隐藏已知文件的扩展名”,点击确定,忽略带有“.exe”后缀的病毒(请及时杀毒),打开被隐藏的文件夹即可。