计算机突然变慢,可能是因为它……

释放双眼,带上耳机,听听看~!

为什么医疗行业成为勒索病毒重灾区?

近一段时间以来,医疗行业感染勒索病毒的消息屡见报端,我和我的同事这两年来直接或协助处理的医院用户就将近100家。 从2017年开始的永恒之蓝病毒开始,就有大面积的医院被攻击导致系统蓝屏,业务中断。当时我还专门写过一篇公众号文章《小心,一大波病毒来袭

勒索病毒余威未了,并在年后又进行了新一轮的爆发,刚上班两天,就收到十来家医院的求助电话,在帮一家医院进行处理时,他们反映说他们单位的一些机器最近变得非常的慢,新购的电脑,都是4G甚至8G的内存,CPU也都是I3和I5的,这样的配置也医院行业也算是很不错的了,但不知道为什么CPU一到都是占用90%以上。

按照以往处理的经验,我们给用户安装上卡巴斯基进行病毒扫描,突然,我们病毒报告中发现了一个熟悉的影子TROJAN.W32.MINER,这是一个典型的挖矿病毒。

在报告中,我们找到了该病毒的几个变种,有数十台电脑被感染。

在国外的一个反病毒网站上,有关于该病毒的介绍:

可以看到,当 PC 感染 Troj.W32.Miner时, 常见症状包括:

  • 异常高 CPU 和显卡使用率

  • 窗口开始缓慢, 和所有的游戏工作慢.

  • 程序不会像前一段时间那样快速启动.

  • 使用 PC 时的感觉缓慢.

关于挖矿病毒的传播途径,极有可能也是通过MS17-010的攻击进行植入的,当然,也有人怀疑是利用的REDIS的漏洞进行的。

对于该病毒,因为我们装的杀毒软件已经将其彻底删除,因此我们也没有进行手工操作,如果你的杀毒软件无法将其删除,可以参考一下网上一个朋友的步骤:https://www.cnblogs.com/uglyliu/p/6442427.html)

0、首先查看任务管理器,找到占用CPU的病毒进程。

1、关闭访问挖矿服务器的访问:

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:

find / -name minerd*

发现程序在/opt下面,同时发现另外的一个异常文件

小白兔慢悠悠地说:”你吐过吗?“

        今天早上,接到一个同行的电话,说他有一个客户,因为突然断电,导致ESXi无法启动,配置文件和两个重要的数据文件丢失,目前所有的业务全部都停了,问我能否帮他进行恢复。我问他客户没有做备份吗?他说客户用的虚拟化,平时对虚拟机有备份都在存储里

KHK75NEOiq33和minerd

3、去掉执行权限

chmod -x KHK75NEOiq33 minerd

4、杀掉进程,kill或pkill随你喜欢

pkill minerd

pkill AnXqV

5、清除定时任务:

systemctl stop crond

我们的系统因为没有其他定时任务,所以可以直接这样,如果有需要自己手动备份自己的定时任务,然后清理掉其他的定时任务,情景分析后处理

6、清除文件

除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> AnXqV ddg.217 ddg.218 ddg.219 duckduckgo.12.log duckduckgo.17.log duckduckgo.18.logduckduckgo.19.log

这里的文件有个duckduckgo的,大约是FQ用的搜索对应的进程有ddg.217/218/219

7、清除未知的授权

进入 ~/.ssh/目录,发现多个异常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授权,这里可以看到有REDIS000…的授权key,我们自己没有设置过,所以直接删除之

欢迎关注:大兵说安全

本文源自微信公众号:大兵说安全

携手数安论安全,共聚东京叹梦华

烟柳画桥,盛世浩然,捧一杯茗茶,邀三五好友,携手数安论安全。 溪亭落座,望遥日暮,赏一轮明月,数万丈红尘,共聚东京叹梦华。  近年来,网络安全越来越受到国家、单位和个人的重视,“没有网络安全,就没有国家安全”已成为大家的共识。7月27-28号,我公

人已赞赏
安全工具

华山论剑,谁是真英雄——从渗透角度实测终端安全软件

2019-10-14 17:35:00

安全工具

为什么医疗行业成为勒索病毒重灾区?

2019-10-14 17:35:08

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索