病*简介
“启动人生”挖矿病*行使“启动人生”晋级通道,并同时行使“永远之蓝”高危弱点传达,在屡屡变种以后,此病*又集成了mimikatz黑客器材(用于偷取系统明码)以及MicrosoftSQLServer弱口令扫描器材模块举办传达,最后此病*下载云控木马,在被习染电脑末端举办门罗币挖矿。
习沾病*后系统病症
1、机械卡顿,CPU占用%,职责治理器中存在洪量PowerShell过程,而且占用洪量CPU资本。
2、职责设计程序中存在以MAC地方定名的设计职责和BlueTooths设计职责,设计职责详细途径为\Microsoft\Windows,设计职责的体例为PowerShell启动的一串足本。
3、同时c:\windows\temp也许存在mkatz.ini,m2.ps1等文献。
处置设计
1、请先相识客户处境,要是客户处境末端数目许多,不便利单点运用AvbTool器材的,也许先运用DCT下发安排设计来查杀病*。
2、为了保证以后的操纵也许通顺举办,倡议先对CPU占用抵达%的祈望机举办一次病*查杀。运用AvbTool专杀器材查杀便可(安排了DCT的客户端运用全部扫描便可)。
3、排查机械是不是安置了ms17-弱点补钉。下载地方以下(请依据操纵系统版本下载安置补钉,此下载地方针对的操纵系统不包括windowsXP以及WindowsServer):