背景介绍永恒之蓝是指2017年5月13日起,全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,不法分子通过改造之前泄露的NSA黑客武器库中"永恒之蓝"攻击程序发起的网络攻击事件.
英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件.
永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播,与WannaCry勒索病毒不同的是,其不再勒索,而是长期潜伏挖矿,会悄悄的耗尽计算机资源.
病毒清除方法1.
修复漏洞,杜绝再次感染1.
1执行以下脚本禁用445及部分端口,杜绝被再次感染netshipsecstaticdeletepolicyname=SECCPPnetshipsecstaticaddpolicyname=SECCPPdescription=安全策略201705netshipsecstaticaddfilteractionname=Blockaction=blocknetshipsecstaticaddfilterlistname=SECCPFnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=135protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=139protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=445protocol=TCPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=137protocol=UDPnetshipsecstaticaddfilterfilterlist=SECCPFsrcaddr=Anydstaddr=Medstport=138protocol=UDPnetshipsecstaticaddrulename=SECCPRpolicy=SECCPPfilterlist=SECCPFfilteraction=Blocknetshipsecstaticsetpolicyname=SECCPPassign=ypauseexit1.
2安装微软针对远程代码执行漏洞的补丁MS17-0102.
永恒之蓝wannacry勒索蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")cd/d"C:/Windows/"taskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/qtaskkill/immssecsvc.
exe/ftaskkill/imtasksche.
exe/fdelmssecsvc.
exe/qdelqeriuwjhrf/qdeltasksche.
exe/q3.
永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除执行以下脚本进行清除:@echooff>nul2>&1"%SYSTEMROOT%\system32\cacls.
exe""%SYSTEMROOT%\system32\config\system"if'%errorlevel%'NEQ'0'(gotoUACPrompt)else(gotogotAdmin):UACPromptechoSetUAC=CreateObject^("Shell.
Application"^)>"%temp%\getadmin.
vbs"echoUAC.
ShellExecute"%~s0"runas",1>>"%temp%\getadmin.
vbs""%temp%\getadmin.
vbs"exit/B:gotAdminifexist"%temp%\getadmin.
vbs"(del"%temp%\getadmin.
vbs")scstopwmassrvscdeletewmassrvtaskkill/IMspoolsv.
exe/ftaskkill/IMrundll32.
exe/fwmicprocessgetProcessId,executablepath|findstr"C:\Windows\SpeechsTracing">1.
txtfor/f"delims="%%iin("1.
txt")do(for/f"tokens=2"%%min(%%i)do(taskkill/PID%%m/f))del1.
txtdelC:\Windows\system32\wmassrv.
dlldelC:\Windows\system32\HalPluginsServices.
dlldelC:\Windows\System32\EnrollCertXaml.
dlldelC:\Windows\SpeechsTracing\spoolsv.
exedelC:\Windows\SpeechsTracing\Microsoft\*.
exerd/s/qC:\Windows\SpeechsTracing永恒之蓝挖矿蠕虫WannaMine特征、行为分析该文章对蠕虫原理进行了专业描述,可论证上述结论的正确性:WMAMiner挖矿蠕虫分析永恒之蓝挖矿蠕虫WannaMine特征特征1:出现以下文件及目录C:\Windows\system32\HalPluginsServices.
dllC:\Windows\System32\EnrollCertXaml.
dllC:\Windows\SpeechsTracingC:\Windows\SpeechsTracing\Microsoft\特征2:出现两个spoolsv.
exe进程出现一个非system32目录的svchost.
exe进程特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高,升高时会有一个rundll32.
exe进程启动如下:蠕虫行为分析及清除脚本步骤1:使用ProcessMon查看spoolsv、rundll32进程都是被以下进程启动步骤2:查看netsvcs配置的自启动服务列表发现有一个新增的wmassrv步骤3:查看该服务信息步骤4:到此猜测如果把该服务关了是否spoolsv.
exe等进程就不会再被创建,进行尝试发现关了该服务后,手动杀掉spoolsv.
exerundll32.
exe进程都不会再自动启动.
至此回忆该服务为其伪装的守护服务.
raksmart作为一家老牌美国机房总是被很多人问到raksmart香港服务器怎么样、raksmart好不好?其实,这也好理解。香港服务器离大陆最近、理论上是不需要备案的服务器里面速度最快的,被过多关注也就在情理之中了。本着为大家趟雷就是本站的光荣这一理念,拿了一台raksmart的香港独立服务器,简单做个测评,分享下实测的数据,仅供参考!官方网站:https://www.raksmart.com...
VoLLcloud LLC是一家成立于2020年12月互联网服务提供商企业,于2021年1月份投入云计算应用服务,为广大用户群体提供云服务平台,已经多个数据中心部署云计算中心,其中包括亚洲、美国、欧洲等地区,拥有自己的研发和技术服务团队。现七夕将至,VoLLcloud LLC 推出亚洲地区(香港)所有产品7折优惠,该产品为CMI线路,去程三网163,回程三网CMI线路,默认赠送 2G DDoS/C...
CloudServer是一家新的VPS主机商,成立了差不多9个月吧,提供基于KVM架构的VPS主机,支持Linux或者Windows操作系统,数据中心在美国纽约、洛杉矶和芝加哥机房,都是ColoCrossing的机器。目前商家在LEB提供了几款特价套餐,最低月付4美元(或者$23.88/年),购买更高级别套餐还能三个月费用使用6个月,等于前半年五折了。下面列出几款特别套餐配置信息。CPU:1cor...