背景介绍永恒之蓝是指2017年5月13日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中"永恒之蓝"攻击程序发起的网络攻击事件.
英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件.
永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播,与WannaCry勒索病毒不同的是,其不再勒索,而是长期潜伏挖矿,会悄悄的耗尽计算机资源.
病毒清除方法1.
修复漏洞,杜绝再次感染1.
1执行以下脚本禁用445及部分端口,杜绝被再次感染netshipsecstaticdeletepolicyname=SECCPPnetshipsecstaticaddpolicyname=SECCPPdescription=安全策略201705netshipsecstaticaddfilteractionname=Blockaction=blocknetshipsecstaticaddfilterlistname=SECCPFnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=135protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=139protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=445protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=UDPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=UDPnetshipsecstaticaddrulename=SECCPRpolicy=SECCPPfilterlist=SECCPFfilteraction=Blocknetshipsecstaticsetpolicyname=SECCPPassign=ypauseexit1.
2安装微软针对远程代码执行漏洞的补丁MS17-0102.
永恒之蓝wannacry勒索蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")cd/d"C:/Windows/"taskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/qtaskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/q3.
永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")scstopwmassrvscdeletewmassrvtaskkill/IMspoolsv.
exe/ftaskkill/IMrundll32.
exe/fwmicprocessgetProcessId,executablepath|findstr"C:\Windows\SpeechsTracing">1.
txtfor/f"delims="%%iin("1.
txt")do(for/f"tokens=2"%%min(%%i)do(taskkill/PID%%m/f))del1.
txtdelC:\Windows\system32\wmassrv.
dlldelC:\Windows\system32\HalPluginsServices.
dlldelC:\Windows\System32\EnrollCertXaml.
dlldelC:\Windows\SpeechsTracing\spoolsv.
exedelC:\Windows\SpeechsTracing\Microsoft\*.
exerd/s/qC:\Windows\SpeechsTracing永恒之蓝挖矿蠕虫WannaMine特征、行为分析该文章对蠕虫原理进行了专业描述,可论证上述结论的正确性:WMAMiner挖矿蠕虫分析永恒之蓝挖矿蠕虫WannaMine特征特征1:出现以下文件及目录C:\Windows\system32\HalPluginsServices.
dllC:\Windows\System32\EnrollCertXaml.
dllC:\Windows\SpeechsTracingC:\Windows\SpeechsTracing\Microsoft\特征2:出现两个spoolsv.
exe进程出现一个非system32目录的svchost.
exe进程特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高,升高时会有一个rundll32.
exe进程启动如下:蠕虫行为分析及清除脚本步骤1:使用ProcessMon查看spoolsv、rundll32进程都是被以下进程启动步骤2:查看netsvcs配置的自启动服务列表发现有一个新增的wmassrv步骤3:查看该服务信息步骤4:到此猜测如果把该服务关了是否spoolsv.
exe等进程就不会再被创建,进行尝试发现关了该服务后,手动杀掉spoolsv.
exerundll32.
exe进程都不会再自动启动.
至此回忆该服务为其伪装的守护服务.
CloudCone 商家也是比较有特点的,和我们熟悉的DO、Vultr、Linode商家均是可以随时删除机器开通的小时计费模式。这个对于有需要短租服务器的来说是比较有性价比的。但是,他们还有一个缺点就是机房比较少,不同于上面几个小时计费服务商可以有多机房可选,如果有这个多机房方案的话,应该更有特点。这次我们可以看到CloudCone闪购活动提供洛杉矶三个促销方案,低至月付1.99美元。商家也可以随...
传统农历新年将至,国人主机商DogYun(狗云)发来了虎年春节优惠活动,1月31日-2月6日活动期间使用优惠码新开动态云7折,经典云8折,新开独立服务器可立减100元/月;使用优惠码新开香港独立服务器优惠100元,并次月免费;活动期间单笔充值每满100元赠送10元,还可以参与幸运大转盘每日抽取5折码,流量,余额等奖品;商家限量推出一款年付特价套餐,共100台,每个用户限1台,香港VPS年付199元...
ucloud6.18推出全球大促活动,针对新老用户(个人/企业)提供云服务器促销产品,其中最低配快杰云服务器月付5元起,中国香港快杰型云服务器月付13元起,最高可购3年,有AMD/Intel系列。当然这都是针对新用户的优惠。注意,UCloud全球有31个数据中心,29条专线,覆盖五大洲,基本上你想要的都能找到。注意:以上ucloud 618优惠都是新用户专享,老用户就随便看看!点击进入:uclou...