病毒現象
- 掃描爆破內網基於445端口的SMB服務
- 服務器出現卡頓、藍屏
- 服務器主動訪問惡意域名:totonm.com、cake.pilutce.com:443
病毒處置
- 刪除關鍵病毒文件:
C:\Windows\System32\rdpkax.xsl (包含所有攻擊組件的壓縮包)
C:\Windows\System32\dllhostex.exe (挖礦主體文件)
C:\Windows\System32\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution
2.刪除關鍵惡意服務:
惡意服務名為以下三個列表中各選一個,然后進行字符串拼接。
字符串列表1為:
Windows、Microsoft、Network、Remote、Function、Secure、Application
字符串列表2為:
Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
字符串列表3為:
Service、Host、Client、Event、Manager、Helper、System
(如: ApplicationNetBIOSClient,其由字符串1 Application + 字符串2 NetBIOS + 字符串3 Client 拼接生成。)
3.直接使用工具徹底查殺:
使用離線EDR進行查殺(下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)
同時使用專殺工具查殺(下載鏈接:http://sec.lz520520.cn:88/data/file/tools/lzAntivirus/wannamine/wannamine&wanncry&powershell.zip)
病毒詳情
http://www.sangfor.com.cn/about/source-news-company-news/1294.html?tdsourcetag=s_pcqq_aiomsg