我声明此文章为转载

事件经过

2021年5月初，宝中2019级高二第二学期期中考试过后，在整理排版成绩单的过程中，同办公室的一名教师发现自己电脑除C盘之外，其他硬盘的文件均被删除。

这名教师在发现文件消失后，立刻请本班的学生来恢复文件并杀毒。出于兴趣，笔者在检查该机时，发现硬盘根目录存在被Fakefolder（又名increaseformat）病毒感染的文件夹以及increaseformat.txt（病毒发作留下的文件）。被删除的数据很难恢复。

病毒原理

该病毒主要通过感染U盘中的文件夹传播。当用户打开被感染的文件夹时，病毒就会隐藏电脑和U盘中的文件夹，并将自己伪装成原文件夹。

该病毒已有十几年的历史，从2010年愚人节开始，每隔几天便删除用户文件，由于编写问题，从2021年才开始发作。电脑被病毒感染后，每隔20秒就会检测系统日期，满足逻辑则执行删除操作。

防范措施

推测宝中目前的病毒传播路径：打印店或学生家长所在单位→初中微机教室→宝中打印部→各班及教师电脑。

此前笔者已经在多名教师的U盘及宝中打印部中发现此病毒，且笔者的u盘也多次遭遇该病毒感染，所幸杀毒及时，并未造成数据损失。

病毒的辨识方法：被病毒感染的文件夹图标为（XP的）“上下打开”样式（类似风琴包），而正常的文件夹图标为（Vista的）“左右翻开”样式（类似资料册、文件盒）。若发现硬盘和U盘中的文件夹被感染，请及时安装杀毒软件进行杀毒。

附：安全打开感染文件夹的方法

XP：打开资源管理器（我的电脑），在菜单栏选择“工具”→“选项...”，在“查看”选项卡中选择“显示隐藏的文件、文件夹和驱动器”，清除勾选“隐藏已知文件的扩展名”，单击确定，打开隐藏（淡）的文件夹。

Vista：打开“计算机”，在“组织”菜单中打开“文件夹和搜索选项”，在“查看”选项卡中选择“显示隐藏的文件、文件夹和驱动器”，取消勾选“隐藏已知文件的扩展名”，点击确定，忽略带有“.exe”后缀的病毒（请及时杀毒），打开被隐藏的文件夹即可。

Win8/10：打开“此电脑”，在“查看”选项卡中打开“选项”，在“文件夹选项”中的“查看”选项卡中选择“显示隐藏的文件、文件夹和驱动器”，取消勾选“隐藏已知文件的扩展名”，点击确定，忽略带有“.exe”后缀的病毒（请及时杀毒），打开被隐藏的文件夹即可。

Win11：打开文件资源管理器，单击上端三个点的图标→选项，在“查看”选项卡中选择“显示隐藏的文件、文件夹和驱动器”，取消勾选“隐藏已知文件的扩展名”，确定，打开被隐藏的文件夹。

Win7：请先升级系统

另：原文中的打开方法有可能无效，因为病毒还会时刻监测文件夹选项（文件资源管理器选项），应该先用任务管理器结束病毒主进程，该变种是tsay.exe和ttry.exe，UP还见过360safe.exe和360safebox.exe的。结束进程后再改文件夹选项。

杀毒方法，同样先结束进程，改文件夹选项，然后去各个盘（包括U盘）删除所有.exe扩展名的病毒，然后在每个盘里按住Shift的同时在空白处右键→打开命令窗口（如果是PowerShell窗口，请打开PowerShell窗口，然后输入cmd然后回车），输入FOR /D %A IN (*) DO ATTRIB -H -S %A然后按回车。（文件夹的属性不能去除“系统”属性，因此也不能去除“隐藏”属性），然后去系统目录C:\Windows（有的变种是C:\Windows\System32），删除病毒主程序文件，图标是XP的文件夹图标，文件名是刚结束进程的进程名，再开始→运行（Win8/10/11：右键开始→运行），输入regedit，确定，定位到HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在右边删除病毒添加的启动项（自己辨别）