ESC嘲讽脸病毒解（勒索）杀毒思路

今天突然接到一线工程师求助，客户反馈业务停机，无法正常使用。经过客户授权后联合OA厂商进行排查，发现ECS处于锁定状态。

让本来今天摸鱼的我忙碌了起来。。。。。。

先说结果，目前通过手动删除相关文件后客户的C盘数据没有被加密，数据盘目前无法进行验证（客户感觉分析时间较长直接通过备份回滚了）。

如果客户没有备份，有需要提取相关数据，可以尝试这个方法。

1、将客户中毒的机器关机，使用CBR按需 进行一次备份。（由于病毒锁定了系统内的所有进程，不关机无法完成备份）。

2、按需计费发放一台windows 的ECS机器，将中毒机器的系统盘解绑，重新挂载到新的ECS上。

3、具体排查过程比较复杂这里省略，，，各位就拿现成的就好了。

客户环境描述：

操作系统：windows 2012 R2。

应用环境：某OA厂商软件。

中毒表现：如下图（我称为嘲讽脸病毒，这个界面脸色的脸感觉一脸欠揍。QAQ）

输入windows 账号密码后，弹出如下界面，所有操作无法进行，机器处于锁定状态。

病毒文件描述：（共计11个） 

1、类型:包含木马的压缩包文件 

描述:包含至少 3 个木马程序 

xmrig-6.18.0\xmrig.exe : Win64/Miner.Coinminer.H8oAJsYA 

xmrig-6.18.0\pool_mine_example.cmd : virus.js.qexvmc.2 

xmrig-6.18.0\rtm_ghostrider_example.cmd : virus.js.qexvmc.1 

位置:C：\Users\Administrator\Music\upx.pey.zip 

2、类型:木马-Win64/Miner.Coinminer.H8oAJsYA 

描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。 

文件路径:C：\Users\Administrator\Music\upx.pey\xmrig-6.18.0\xmrig.exe 

文件大小:5.14M (5,389,312 字节) 

文件版本:6.18.0 

文件描述:XMRig miner 

文件指纹（MD5）:2a0d26b8b02bb2d17994d2a9a38d61db 

3、类型:被感染文件-Virus.Win32.Synaptics.A 

描述:通过感染系统内的各种文件进行传播，具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 

扫描引擎:启发式引擎 

文件路径:C：\Users\Administrator\Music\xhv.win\xhv\cmd.exe 

文件大小:1.06M (1,115,648 字节) 

文件版本:1.0.0.4 

文件描述:Synaptics Pointing Device Driver 

文件指纹（MD5）:3fdad0b0fdc266ca71d098abe3ca077f   

4、类型:木马-Virus.Win32.Synaptics.A 

描述:通过感染系统内的各种文件进行传播，具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 

文件路径:C：\Users\Administrator\Music\xhv.win\xhv\DefenderControl.exe 

文件大小:1.54M (1,617,408 字节) 

文件版本:1.0.0.4 

文件描述:Synaptics Pointing Device Driver 

文件指纹（MD5）:73a411796f43520a1e3273bbc4ac36bd   

5、类型:木马-Win64/Miner.Generic.HgEASlgA 

描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。 

文件路径:C：\Users\Administrator\Music\xhv.win\xhv\Update.exe 

文件大小:7.79M (8,170,496 字节) 

文件版本: 

文件描述:Update 

文件指纹（MD5）:0b941fa769356854be193c21c98d8b9e 

6、类型:木马-Script/Miner.BitMiner.HhsASkwA 

描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。 

文件路径:C：\Users\Administrator\Music\upx.pey\xmrig-6.18.0\rtm_ghostrider_example.cmd 

文件大小:1.2K (1,215 字节) 

文件指纹（MD5）:9b7762432e3ab03dc49b1989ec7b8d1c 

数字签名: 

数字签名是否有效:无效 

7、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 

描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。 

文件路径:C：\Users\Administrator\Music\upx.pey\xmrig-6.18.0\start.cmd 

文件大小:29B (29 字节) 

文件指纹（MD5）:6eb783bc229f92d0f8285500928ac8a1 

数字签名: 

数字签名是否有效:无效 

8、类型:木马-Script/Miner.BitMiner.HhsASg0A 

描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。 

文件路径:C：\Users\Administrator\Music\xhv.win\xhv\rtm_ghostrider_example.cmd 

文件大小:1K (1,037 字节) 

文件指纹（MD5）:1ca0541052731bcd4f381d5572c4563c 

数字签名: 

数字签名是否有效:无效 

9、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 

描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。 

文件路径:C：\Users\Administrator\Music\xhv.win\xhv\start.cmd 

文件大小:29B (29 字节) 

文件指纹（MD5）:6eb783bc229f92d0f8285500928ac8a1 

数字签名: 

数字签名是否有效:无效 

10、类型:木马-Win32/Trojan.Generic.HwcBEpsA 

描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。 

文件路径:C：\Windows\Logs\DISM\desktop locker\Desktop Locker.exe 

文件大小:376.7K (385,712 字节) 

文件指纹（MD5）:32d21958d95f1a3e6051fd36807d31df 

11、类型:包含木马的压缩包文件 

描述:包含至少 1 个木马程序 

Desktop Locker.exe : Win32/Trojan.Generic.HwcBEpsA 

位置:C：\Users\Administrator\Music\desktop locker.zip 

总结：建议客户的ECS在使用中不要裸奔，隐去3389端口，关闭443端口，使用华为云HSS（企业主机安全），定期进行备份避免悲剧的发生。