ESC嘲讽脸病毒解(勒索)杀毒思路
今天突然接到一线工程师求助,客户反馈业务停机,无法正常使用。经过客户授权后联合OA厂商进行排查,发现ECS处于锁定状态。
让本来今天摸鱼的我忙碌了起来。。。。。。
先说结果,目前通过手动删除相关文件后客户的C盘数据没有被加密,数据盘目前无法进行验证(客户感觉分析时间较长直接通过备份回滚了)。
如果客户没有备份,有需要提取相关数据,可以尝试这个方法。
1、将客户中毒的机器关机,使用CBR按需 进行一次备份。(由于病毒锁定了系统内的所有进程,不关机无法完成备份)。
2、按需计费发放一台windows 的ECS机器,将中毒机器的系统盘解绑,重新挂载到新的ECS上。
3、具体排查过程比较复杂这里省略,,,各位就拿现成的就好了。
客户环境描述:
操作系统:windows 2012 R2。
应用环境:某OA厂商软件。
中毒表现:如下图(我称为嘲讽脸病毒,这个界面脸色的脸感觉一脸欠揍。QAQ)
输入windows 账号密码后,弹出如下界面,所有操作无法进行,机器处于锁定状态。
病毒文件描述:(共计11个)
1、类型:包含木马的压缩包文件
描述:包含至少 3 个木马程序
xmrig-6.18.0\xmrig.exe : Win64/Miner.Coinminer.H8oAJsYA
xmrig-6.18.0\pool_mine_example.cmd : virus.js.qexvmc.2
xmrig-6.18.0\rtm_ghostrider_example.cmd : virus.js.qexvmc.1
位置:C:\Users\Administrator\Music\upx.pey.zip
2、类型:木马-Win64/Miner.Coinminer.H8oAJsYA
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\xmrig.exe
文件大小:5.14M (5,389,312 字节)
文件版本:6.18.0
文件描述:XMRig miner
文件指纹(MD5):2a0d26b8b02bb2d17994d2a9a38d61db
3、类型:被感染文件-Virus.Win32.Synaptics.A
描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。
扫描引擎:启发式引擎
文件路径:C:\Users\Administrator\Music\xhv.win\xhv\cmd.exe
文件大小:1.06M (1,115,648 字节)
文件版本:1.0.0.4
文件描述:Synaptics Pointing Device Driver
文件指纹(MD5):3fdad0b0fdc266ca71d098abe3ca077f
4、类型:木马-Virus.Win32.Synaptics.A
描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。
文件路径:C:\Users\Administrator\Music\xhv.win\xhv\DefenderControl.exe
文件大小:1.54M (1,617,408 字节)
文件版本:1.0.0.4
文件描述:Synaptics Pointing Device Driver
文件指纹(MD5):73a411796f43520a1e3273bbc4ac36bd
5、类型:木马-Win64/Miner.Generic.HgEASlgA
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
文件路径:C:\Users\Administrator\Music\xhv.win\xhv\Update.exe
文件大小:7.79M (8,170,496 字节)
文件版本:
文件描述:Update
文件指纹(MD5):0b941fa769356854be193c21c98d8b9e
6、类型:木马-Script/Miner.BitMiner.HhsASkwA
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\rtm_ghostrider_example.cmd
文件大小:1.2K (1,215 字节)
文件指纹(MD5):9b7762432e3ab03dc49b1989ec7b8d1c
数字签名:
数字签名是否有效:无效
7、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\start.cmd
文件大小:29B (29 字节)
文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1
数字签名:
数字签名是否有效:无效
8、类型:木马-Script/Miner.BitMiner.HhsASg0A
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
文件路径:C:\Users\Administrator\Music\xhv.win\xhv\rtm_ghostrider_example.cmd
文件大小:1K (1,037 字节)
文件指纹(MD5):1ca0541052731bcd4f381d5572c4563c
数字签名:
数字签名是否有效:无效
9、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
文件路径:C:\Users\Administrator\Music\xhv.win\xhv\start.cmd
文件大小:29B (29 字节)
文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1
数字签名:
数字签名是否有效:无效
10、类型:木马-Win32/Trojan.Generic.HwcBEpsA
描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。
文件路径:C:\Windows\Logs\DISM\desktop locker\Desktop Locker.exe
文件大小:376.7K (385,712 字节)
文件指纹(MD5):32d21958d95f1a3e6051fd36807d31df
11、类型:包含木马的压缩包文件
描述:包含至少 1 个木马程序
Desktop Locker.exe : Win32/Trojan.Generic.HwcBEpsA
位置:C:\Users\Administrator\Music\desktop locker.zip
总结:建议客户的ECS在使用中不要裸奔,隐去3389端口,关闭443端口,使用华为云HSS(企业主机安全),定期进行备份避免悲剧的发生。
- 点赞
- 收藏
- 关注作者
评论(0)