WannaMine4.0查杀方法

标签：com   targe   toc   upd   卡顿   client   event   字符串拼接   ann   

病毒现象

1. 扫描爆破内网基于445端口的SMB服务
2. 服务器出现卡顿、蓝屏
3. 服务器主动访问恶意域名：totonm.com、cake.pilutce.com:443

病毒处置

1. 删除关键病毒文件：
   C:\Windows\System32\rdpkax.xsl （包含所有攻击组件的压缩包）
   C:\Windows\System32\dllhostex.exe （挖矿主体文件）
   C:\Windows\System32\ApplicationNetBIOSClient.dll
   C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
   C:\Windows\SysWOW64\dllhostex.exe
   C:\Windows\NetworkDistribution

2.删除关键恶意服务：

恶意服务名为以下三个列表中各选一个，然后进行字符串拼接。
字符串列表1为：
Windows、Microsoft、Network、Remote、Function、Secure、Application
字符串列表2为：
Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
字符串列表3为：
Service、Host、Client、Event、Manager、Helper、System
(如: ApplicationNetBIOSClient，其由字符串1 Application + 字符串2 NetBIOS + 字符串3 Client 拼接生成。)

3.直接使用工具彻底查杀：

使用离线EDR进行查杀(下载链接：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)
同时使用专杀工具查杀(下载链接：http://sec.lz520520.cn:88/data/file/tools/lzAntivirus/wannamine/wannamine&wanncry&powershell.zip)

病毒详情

http://www.sangfor.com.cn/about/source-news-company-news/1294.html?tdsourcetag=s_pcqq_aiomsg

WannaMine4.0查杀方法

标签：com   targe   toc   upd   卡顿   client   event   字符串拼接   ann   

原文地址：https://www.cnblogs.com/yyxianren/p/12378310.html