当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

查杀与恢复方式

1. 检查Windows目录下是否存在tsay.exe和ttry.exe文件，如果有立即删除。

2. 检查注册表中是否存在下面的记录，如有请立即删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa和

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

3. 全盘查杀是否存在该病毒文件，目前大部分安全厂商的终端防护产品支持对该样本的查杀。

4. 检查病毒的植入的入口，并做相应的防范措施。

5. 如果除系统盘外的其他路径已经被清空，请不要重启电脑，可以先从隐藏文件中把数据先拷贝出来，或者使用第三方数据恢复软件来恢复，成功率几乎百分百。

预防措施

1. 不要运行来历不明的软件。

2. 下载软件尽量从官网下载，并对比hash。

3. 安装终端安全防护软件，并保持最新的规则库。

4. 对移动介质如U盘之类的，定期查杀。

5. 检查各终端安全软件的信任区，确保信任区内文件可信。

6. 本公司提供专业的数据恢复服务，如有需要请与我们联系！