病毒分析

从搜索引擎结果来看，该病毒最早出现时间为 2009 年，主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun，从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒。病毒文件运行后，首先复制自身到 Windows 目录下（C:windowstsay.exe和C:windowsttry.exe），文件图标伪装为文件夹。

经调查，该蠕虫正常情况下表现为文件夹蠕虫，集中爆发是由于病毒代码中内置了部分特殊日期，在匹配到对应日期后会触发蠕虫的删除文件功能，爆发该蠕虫事件的用户感染时间应该早于2021年1月13号，根据分析推测，下次触发删除文件行为的时间约为2021年1月23日和2021年2月4日。

联维解决方案

安全防护建议
 

若未出现感染现象建议（其他磁盘文件还未被删除）：

1、勿随意重启主机，先使用安全软件进行全盘查杀，并开启实时监控等防护功能；

2、不要随意下载安装未知软件，尽量在官方网站进行下载安装；

3、尽量关闭不必要的共享，或设置共享目录为只读模式；

4、严格规范U盘等移动介质的使用，使用前先进行查杀；

5、重要数据做好备份。
 

若已出现感染现象建议（其他磁盘文件已被删除）：

1、使用安全软件进行全盘查杀，清除病毒残留；

2、可尝试使用数据恢复类工具进行恢复，恢复前尽量不要占用被删文件磁盘的空间，由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据，可能仍有一定几率进行恢复。

联维科技正持续关注此病毒后续动态，并为广大客户及时提供解决方案。