病毒現象
- 服務器出現卡頓、CPU飆升
- 和其他主機的445端口、1433,建立起大量的連接
- 存在大量Powershell進程
- 感染MBR扇區
- 被感染主機的445端口被異常關閉,且防火牆被添加“deny tcp 445”策略,IPsec被添加“win”策略
病毒處置
-
封堵445端口; 或打永恆之藍漏洞補丁
-
在AF等設備添加規則,限制訪問下列域名和IP:
ftp.ftp0930.host
pool.minexmr.com
raw.githubusercontent.com
wmi.1217bye.host
own.mysking.info
js.ftp0930.host
js.mykings.top
ftp.ftp0118.info
ok.mymyxmra.ru
mbr.kill0604.ru
173.208.139.170
35.182.171.137
45.58.135.106
103.213.246.23
78.142.29.152
74.222.14.61
18.218.14.96
223.25.247.240
223.25.247.152
103.95.28.54
23.88.160.137
81.177.135.35
78.142.29.110
174.128.239.250
66.117.6.174
-
使用Autoruns,刪除啟動項:start
-
使用Autoruns,刪除計划任務: Mysa、Mysa1、Mysa2、Mysa3、ok
-
使用Autoruns,刪除WMI:fuckyoumm4
-
刪除病毒母體:C:\Windows\system\my1.bat
- 使用EDR終端殺軟全盤查殺
- 使用《暗雲III專殺工具》對MBR進行清除並重啟 :http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip