永恒之蓝挖矿蠕虫WannaMine特征、行为分析及清除

wannacry勒索病毒  时间:2021-01-12  阅读:()

背景介绍永恒之蓝是指2017年5月13日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中"永恒之蓝"攻击程序发起的网络攻击事件.
英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件.

永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播,与WannaCry勒索病毒不同的是,其不再勒索,而是长期潜伏挖矿,会悄悄的耗尽计算机资源.

病毒清除方法1.
修复漏洞,杜绝再次感染1.
1执行以下脚本禁用445及部分端口,杜绝被再次感染netshipsecstaticdeletepolicyname=SECCPPnetshipsecstaticaddpolicyname=SECCPPdescription=安全策略201705netshipsecstaticaddfilteractionname=Blockaction=blocknetshipsecstaticaddfilterlistname=SECCPFnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=135protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=139protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=445protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=UDPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=UDPnetshipsecstaticaddrulename=SECCPRpolicy=SECCPPfilterlist=SECCPFfilteraction=Blocknetshipsecstaticsetpolicyname=SECCPPassign=ypauseexit1.
2安装微软针对远程代码执行漏洞的补丁MS17-0102.
永恒之蓝wannacry勒索蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")cd/d"C:/Windows/"taskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/qtaskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/q3.
永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")scstopwmassrvscdeletewmassrvtaskkill/IMspoolsv.
exe/ftaskkill/IMrundll32.
exe/fwmicprocessgetProcessId,executablepath|findstr"C:\Windows\SpeechsTracing">1.
txtfor/f"delims="%%iin("1.
txt")do(for/f"tokens=2"%%min(%%i)do(taskkill/PID%%m/f))del1.
txtdelC:\Windows\system32\wmassrv.
dlldelC:\Windows\system32\HalPluginsServices.
dlldelC:\Windows\System32\EnrollCertXaml.
dlldelC:\Windows\SpeechsTracing\spoolsv.
exedelC:\Windows\SpeechsTracing\Microsoft\*.
exerd/s/qC:\Windows\SpeechsTracing永恒之蓝挖矿蠕虫WannaMine特征、行为分析该文章对蠕虫原理进行了专业描述,可论证上述结论的正确性:WMAMiner挖矿蠕虫分析永恒之蓝挖矿蠕虫WannaMine特征特征1:出现以下文件及目录C:\Windows\system32\HalPluginsServices.
dllC:\Windows\System32\EnrollCertXaml.
dllC:\Windows\SpeechsTracingC:\Windows\SpeechsTracing\Microsoft\特征2:出现两个spoolsv.
exe进程出现一个非system32目录的svchost.
exe进程特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高,升高时会有一个rundll32.
exe进程启动如下:蠕虫行为分析及清除脚本步骤1:使用ProcessMon查看spoolsv、rundll32进程都是被以下进程启动步骤2:查看netsvcs配置的自启动服务列表发现有一个新增的wmassrv步骤3:查看该服务信息步骤4:到此猜测如果把该服务关了是否spoolsv.
exe等进程就不会再被创建,进行尝试发现关了该服务后,手动杀掉spoolsv.
exerundll32.
exe进程都不会再自动启动.
至此回忆该服务为其伪装的守护服务.

Sharktech10Gbps带宽,不限制流量,自带5个IPv4,100G防御

Sharktech荷兰10G带宽的独立服务器月付319美元起,10Gbps共享带宽,不限制流量,自带5个IPv4,免费60Gbps的 DDoS防御,可加到100G防御。CPU内存HDD价格购买地址E3-1270v216G2T$319/月链接E3-1270v516G2T$329/月链接2*E5-2670v232G2T$389/月链接2*E5-2678v364G2T$409/月链接这里我们需要注意,默...

星梦云:四川100G高防4H4G10M月付仅60元

星梦云怎么样?星梦云资质齐全,IDC/ISP均有,从星梦云这边租的服务器均可以备案,属于一手资源,高防机柜、大带宽、高防IP业务,一手整C IP段,四川电信,星梦云专注四川高防服务器,成都服务器,雅安服务器。星梦云目前夏日云服务器促销,四川100G高防4H4G10M月付仅60元;西南高防月付特价活动,续费同价,买到就是赚到!点击进入:星梦云官方网站地址1、成都电信年中活动机(成都电信优化线路,封锁...

Linode十八周年及未来展望

这两天Linode发布了十八周年的博文和邮件,回顾了过去取得的成绩和对未来的展望。作为一家运营18年的VPS主机商,Linode无疑是有一些可取之处的,商家提供基于KVM架构的VPS主机,支持随时删除(按小时计费),可选包括美国、英国、新加坡、日本、印度、加拿大、德国等全球十多个数据中心,所有机器提供高出入网带宽,最低仅$5/月($0.0075/小时)。This month marks Linod...

wannacry勒索病毒为你推荐
注册域名注册域名需要什么条件?网络域名注册怎么申请网络域名注册,以及网站的建设?注册国际域名怎么申请国际域名国内ip代理求一些国内《ip代理》地址大全网站空间购买不用备案的网站空间,哪里可以有这样的网站空间购买?100m网站空间100M的最好的网站空间价格多少?万网虚拟主机万网免费虚拟主机和收费虚拟主机有什么区别合肥虚拟主机哪里的虚拟主机空间实惠?域名劫持域名劫持到底有多严重,该如何量化域名是什么域名是什么?
2019年感恩节 59.99美元 香港托管 ssh帐号 论坛空间 个人空间申请 有奖调查 谁的qq空间最好看 新家坡 91vps 天翼云盘 厦门电信 supercache 攻击服务器 闪讯网 贵州电信 碳云 傲盾代理 卡巴斯基免费版下载 文件传输 更多