2024年1月19日发(作者:)

1、确定地址 登录

10.254.24.19

2、打开CMD 查看网络连接信息

netstat -ano

发现有大量的本机随机地址访问局域网不同地址的445端口 并且进程PID为 84688和114656

3、打开任务管理器 查看PID进程对应的程序

程序名称为 (挖矿病毒) 和 (wanancrypt勒索病毒)

4、挖矿病毒

打开文件位置:

系统默认的

挖抗

恶意DLL释放进程文件:

挖矿文件夹

5、wanancrypt勒索病毒

勒索病毒文件

查看文件 发现勒索病毒文件 文件,且在运

行中

继续排查应用程序日志,发现报错开始时间

第一条task应用程序错误日志出现在2018年3月10日6点03分12秒

查看系统日志

在2018年3月10日 6点02分59秒 程序安装了名为Microsoft Security

Center (2.0) Service的服务

随后Microsoft Security Center (2.0) Service服务启动

查看相关服务

服务自启动,每次重启计算机后,服务自动启动,勒索病毒自动攻击。

6、确定MS17-010补丁情况

修复程序 无相关MS17-010 补丁情况

7、查杀

1、安装终端杀毒软件进行杀毒

2、关闭相关进程

比如:

3、删除相关文件

比如:

C:WindowsSpeechsTracing 整个文件夹

C:

C:

4、关闭相关服务

比如:

Microsoft Security Center (2.0) Service

5、修复漏洞,打上ms17010相关补丁,或者关闭135、137、139、445端口。(建议先做漏洞修复)6、持续关注