ESC嘲讽脸病毒解(勒索)杀毒思路

举报
敬业的板砖工 发表于 2022/09/07 16:28:02 2022/09/07
【摘要】 ESC嘲讽脸病毒解(勒索)杀毒思路

今天突然接到一线工程师求助,客户反馈业务停机,无法正常使用。经过客户授权后联合OA厂商进行排查,发现ECS处于锁定状态。

让本来今天摸鱼的我忙碌了起来。。。。。。

先说结果,目前通过手动删除相关文件后客户的C盘数据没有被加密,数据盘目前无法进行验证(客户感觉分析时间较长直接通过备份回滚了)。

如果客户没有备份,有需要提取相关数据,可以尝试这个方法。

1、将客户中毒的机器关机,使用CBR按需 进行一次备份。(由于病毒锁定了系统内的所有进程,不关机无法完成备份)。

2、按需计费发放一台windows 的ECS机器,将中毒机器的系统盘解绑,重新挂载到新的ECS上。

3、具体排查过程比较复杂这里省略,,,各位就拿现成的就好了。

客户环境描述:

操作系统:windows 2012 R2。

应用环境:某OA厂商软件。

中毒表现:如下图(我称为嘲讽脸病毒,这个界面脸色的脸感觉一脸欠揍。QAQ)

cke_54069.png

输入windows 账号密码后,弹出如下界面,所有操作无法进行,机器处于锁定状态。

病毒文件描述:(共计11个) 

1、类型:包含木马的压缩包文件 

描述:包含至少 3 个木马程序 

xmrig-6.18.0\xmrig.exe : Win64/Miner.Coinminer.H8oAJsYA 

xmrig-6.18.0\pool_mine_example.cmd : virus.js.qexvmc.2 

xmrig-6.18.0\rtm_ghostrider_example.cmd : virus.js.qexvmc.1 

位置:C:\Users\Administrator\Music\upx.pey.zip 


2、类型:木马-Win64/Miner.Coinminer.H8oAJsYA 

描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 

文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\xmrig.exe 

文件大小:5.14M (5,389,312 字节) 

文件版本:6.18.0 

文件描述:XMRig miner 

文件指纹(MD5):2a0d26b8b02bb2d17994d2a9a38d61db 

  

3、类型:被感染文件-Virus.Win32.Synaptics.A 

描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 

扫描引擎:启发式引擎 

文件路径:C:\Users\Administrator\Music\xhv.win\xhv\cmd.exe 

文件大小:1.06M (1,115,648 字节) 

文件版本:1.0.0.4 

文件描述:Synaptics Pointing Device Driver 

文件指纹(MD5):3fdad0b0fdc266ca71d098abe3ca077f   

4、类型:木马-Virus.Win32.Synaptics.A 

描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 

文件路径:C:\Users\Administrator\Music\xhv.win\xhv\DefenderControl.exe 

文件大小:1.54M (1,617,408 字节) 

文件版本:1.0.0.4 

文件描述:Synaptics Pointing Device Driver 

文件指纹(MD5):73a411796f43520a1e3273bbc4ac36bd   

5、类型:木马-Win64/Miner.Generic.HgEASlgA 

描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 

文件路径:C:\Users\Administrator\Music\xhv.win\xhv\Update.exe 

文件大小:7.79M (8,170,496 字节) 

文件版本: 

文件描述:Update 

文件指纹(MD5):0b941fa769356854be193c21c98d8b9e 

6、类型:木马-Script/Miner.BitMiner.HhsASkwA 

描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 

文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\rtm_ghostrider_example.cmd 

文件大小:1.2K (1,215 字节) 

文件指纹(MD5):9b7762432e3ab03dc49b1989ec7b8d1c 

数字签名: 

数字签名是否有效:无效 

7、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 

描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 

文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\start.cmd 

文件大小:29B (29 字节) 

文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1 

数字签名: 

数字签名是否有效:无效 

8、类型:木马-Script/Miner.BitMiner.HhsASg0A 

描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 

文件路径:C:\Users\Administrator\Music\xhv.win\xhv\rtm_ghostrider_example.cmd 

文件大小:1K (1,037 字节) 

文件指纹(MD5):1ca0541052731bcd4f381d5572c4563c 

数字签名: 

数字签名是否有效:无效 

9、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 

描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 

文件路径:C:\Users\Administrator\Music\xhv.win\xhv\start.cmd 

文件大小:29B (29 字节) 

文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1 

数字签名: 

数字签名是否有效:无效 

10、类型:木马-Win32/Trojan.Generic.HwcBEpsA 

描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 

文件路径:C:\Windows\Logs\DISM\desktop locker\Desktop Locker.exe 

文件大小:376.7K (385,712 字节) 

文件指纹(MD5):32d21958d95f1a3e6051fd36807d31df 

11、类型:包含木马的压缩包文件 

描述:包含至少 1 个木马程序 

Desktop Locker.exe : Win32/Trojan.Generic.HwcBEpsA 

位置:C:\Users\Administrator\Music\desktop locker.zip 

总结:建议客户的ECS在使用中不要裸奔,隐去3389端口,关闭443端口,使用华为云HSS(企业主机安全),定期进行备份避免悲剧的发生。

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。