背景介绍永恒之蓝是指2017年5月13日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中"永恒之蓝"攻击程序发起的网络攻击事件.
英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件.
永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播,与WannaCry勒索病毒不同的是,其不再勒索,而是长期潜伏挖矿,会悄悄的耗尽计算机资源.
病毒清除方法1.
修复漏洞,杜绝再次感染1.
1执行以下脚本禁用445及部分端口,杜绝被再次感染netshipsecstaticdeletepolicyname=SECCPPnetshipsecstaticaddpolicyname=SECCPPdescription=安全策略201705netshipsecstaticaddfilteractionname=Blockaction=blocknetshipsecstaticaddfilterlistname=SECCPFnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=135protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=139protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=445protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=UDPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=UDPnetshipsecstaticaddrulename=SECCPRpolicy=SECCPPfilterlist=SECCPFfilteraction=Blocknetshipsecstaticsetpolicyname=SECCPPassign=ypauseexit1.
2安装微软针对远程代码执行漏洞的补丁MS17-0102.
永恒之蓝wannacry勒索蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")cd/d"C:/Windows/"taskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/qtaskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/q3.
永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")scstopwmassrvscdeletewmassrvtaskkill/IMspoolsv.
exe/ftaskkill/IMrundll32.
exe/fwmicprocessgetProcessId,executablepath|findstr"C:\Windows\SpeechsTracing">1.
txtfor/f"delims="%%iin("1.
txt")do(for/f"tokens=2"%%min(%%i)do(taskkill/PID%%m/f))del1.
txtdelC:\Windows\system32\wmassrv.
dlldelC:\Windows\system32\HalPluginsServices.
dlldelC:\Windows\System32\EnrollCertXaml.
dlldelC:\Windows\SpeechsTracing\spoolsv.
exedelC:\Windows\SpeechsTracing\Microsoft\*.
exerd/s/qC:\Windows\SpeechsTracing永恒之蓝挖矿蠕虫WannaMine特征、行为分析该文章对蠕虫原理进行了专业描述,可论证上述结论的正确性:WMAMiner挖矿蠕虫分析永恒之蓝挖矿蠕虫WannaMine特征特征1:出现以下文件及目录C:\Windows\system32\HalPluginsServices.
dllC:\Windows\System32\EnrollCertXaml.
dllC:\Windows\SpeechsTracingC:\Windows\SpeechsTracing\Microsoft\特征2:出现两个spoolsv.
exe进程出现一个非system32目录的svchost.
exe进程特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高,升高时会有一个rundll32.
exe进程启动如下:蠕虫行为分析及清除脚本步骤1:使用ProcessMon查看spoolsv、rundll32进程都是被以下进程启动步骤2:查看netsvcs配置的自启动服务列表发现有一个新增的wmassrv步骤3:查看该服务信息步骤4:到此猜测如果把该服务关了是否spoolsv.
exe等进程就不会再被创建,进行尝试发现关了该服务后,手动杀掉spoolsv.
exerundll32.
exe进程都不会再自动启动.
至此回忆该服务为其伪装的守护服务.
Sharktech荷兰10G带宽的独立服务器月付319美元起,10Gbps共享带宽,不限制流量,自带5个IPv4,免费60Gbps的 DDoS防御,可加到100G防御。CPU内存HDD价格购买地址E3-1270v216G2T$319/月链接E3-1270v516G2T$329/月链接2*E5-2670v232G2T$389/月链接2*E5-2678v364G2T$409/月链接这里我们需要注意,默...
星梦云怎么样?星梦云资质齐全,IDC/ISP均有,从星梦云这边租的服务器均可以备案,属于一手资源,高防机柜、大带宽、高防IP业务,一手整C IP段,四川电信,星梦云专注四川高防服务器,成都服务器,雅安服务器。星梦云目前夏日云服务器促销,四川100G高防4H4G10M月付仅60元;西南高防月付特价活动,续费同价,买到就是赚到!点击进入:星梦云官方网站地址1、成都电信年中活动机(成都电信优化线路,封锁...
这两天Linode发布了十八周年的博文和邮件,回顾了过去取得的成绩和对未来的展望。作为一家运营18年的VPS主机商,Linode无疑是有一些可取之处的,商家提供基于KVM架构的VPS主机,支持随时删除(按小时计费),可选包括美国、英国、新加坡、日本、印度、加拿大、德国等全球十多个数据中心,所有机器提供高出入网带宽,最低仅$5/月($0.0075/小时)。This month marks Linod...