用户投稿
针对新型挖矿病毒WnSrvMiner通过永恒之蓝漏洞感染15万台主机的预警与处置,以下是一些建议:
### 预警
1. "信息收集":
- 收集WnSrvMiner病毒的相关信息,包括病毒传播方式、感染特征、挖掘的加密货币类型等。
- 关注安全厂商发布的预警信息,如火眼、360安全中心等。
2. "漏洞扫描":
- 使用漏洞扫描工具对网络中的主机进行扫描,检测是否存在永恒之蓝漏洞。
- 对已感染的主机进行排查,确定感染范围。
3. "安全监控":
- 加强网络流量监控,关注异常流量和可疑行为。
- 监控主机系统日志,寻找病毒感染迹象。
4. "用户教育":
- 提醒用户不要随意点击不明链接,不下载不明来源的软件。
- 强调安全意识,提高用户对病毒感染的认识。
### 处置
1. "隔离感染主机":
- 将已感染的主机从网络中隔离,防止病毒进一步传播。
- 对隔离的主机进行病毒查杀和修复。
2. "修复漏洞":
- 使用系统补丁或漏洞修复工具修复永恒之蓝漏洞。
- 更新防火墙规则,阻止相关恶意流量。
3. "病毒查杀":
- 使用杀毒
相关内容:
近日,出现一种通过永恒之蓝漏洞的新型病毒(WmSrvMiner)。该病毒通过感染主机设备进行挖矿,主要表现为异常卡顿,严重影响主机性能和业务正常运行。目前,据第三方机构推测,感染主机数量超过15万。请各重点单位注意加强主机设备安全防护,提醒职工不点击来源不明的邮件以及附件,预防感染该病毒。关于新型挖矿病毒WnSrvMiner的紧急预警与处置建议。
深圳市网络与信息安全信息通报中心
二、 事件信息
(一) 事件概要
事件名称 WnSrvMiner新型挖矿病毒
威胁类型 挖矿病毒
威胁等级高
受影响系统及应用版本
开启了135,139,445端口SMB网络共享协议的Windows系统(包括个人版和服务器版)。
(二)漏洞描述
WmSrvMiner利用永恒之蓝漏洞进行渗透攻击,在主机中伪装为svchost.exe,通过连接http://103.55.13.68:13333下载横向传播的攻击工具,并按照C2站点的命令执行挖矿程序。该病毒集成多种病毒模块,查杀难度较高,因此极易导致内网横向传播扩散。
(三)影响范围
开启了135、139、445端口或SMB网络共享协议的Windows系统(包括个人版和服务器版)。
三、 处置建议
(一)排查方案
1.检查系统是否打上了最近系统漏洞补丁包;
2.检查系统是否开启了445端口的SMB网络共享协议,或者不必要的共享端口;
3.检查内网是否有主机访问http://103.55.13.68:13333;
3.检查系统是否存在异常运行的svchost.exe;
4.检查系统C:WindowssecurityIIS文件目录是否存在永恒之蓝(Eternalblue.dll)、永恒浪漫(mance.exe)等攻击程序。
(二)解决方案
1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;
2.切断传播途径:关闭潜在终端的445等网络共享端口,关闭异常的外联访问;
3.查找攻击源,确认感染数量:手工抓包分析或借助态势感知类产品分析,确认全网感染数量;
4.查杀病毒:可使用以下工具进行查杀(
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip);
5. 在网络出口封堵http://103.55.13.68:13333访问,阻止恶意程序下载攻击组件;
6.提高密码难度:如果主机账号密码为简单密码,建议重置高强度的密码。
四、 应急处置建议
一旦发现系统中存在漏洞被利用的情况,要第一时间上报我中心(电话:84452816),同时开展以下紧急处置:
1.是立即断开被入侵的主机系统的网络连接,防止进一步危害;
2.是留存相关日志信息;
3.是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。
网警提醒:请各重点单位注意加强主机设备安全防护,提醒职工不点击来源不明的邮件以及附件,预防感染该病毒。
微信扫一扫打赏
支付宝扫一扫打赏
