一、取证特征

1)网络域名特征

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

2)文件特征

母体文件

mssecsvc.exe   

c:\\WINDOWS\\tasksche.exe

c:\\WINDOWS\\qeriuwjhrf

3)系统现象

CPU占用率100%

4)系统补丁号

Windows XP SP3    KB4012598

Windows XP x64 SP2    KB4012598

Windows 2003 SP2    KB4012598

Windows 2003 x64 SP2    KB4012598

Windows Vista Windows Server 2008    KB4012598

Windows 7    KB4012212

Windows Server 2008 R2    KB4012215

Windows 8.1    KB4012213

Windows 8.1    KB4012216

Windows Server2012    KB4012214

Windows Server2012    KB4012217

Windows Server2012 R2    KB4012213

Windows Server2012 R2    KB4012216

Windows 10    KB4012606

Windows 10 1511    KB4013198

Windows 10 1607    KB4013429

二、已感染病毒主机处置

1)感染主机处置

针对已感染WannaCry病毒的主机,首先进行断网隔离,判断加密文件的重要性,决定是否格式化磁盘重装系统,还是保持断网状态等待进一步解密进展。

如果内网存在主机无法访问外部网络的情况,需要迅速在内网中添加DNS解析,将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某台内网中可以访问的主机上,确保内网主机可以访问该域名,阻断蠕虫的进一步传播。

2)病毒清除

在被感染主机上,需要对蠕虫进行清除:

1. 关闭进程:

关闭tasksche.exe进程:

不完全执行的状态下,还可能有mssecsvc.exe,即最初启动的那个进程,在后续完全执行的状态下,还可能有其他tor等的进程。

2.删除相关服务:

(1)删除服务mssecsvc2.0,服务路径:

C:/WINDOWS/tasksche.exe或者C:/WINDOWS/mssecsvc.bin -m security

(2)删除hnjrymny834(该服务名可能随机)服务:

查找对应的路径,在其路径名下删除可执行文件。

3.清除注册表项:

在注册表中,删除以下键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 “C:\ProgramData\hnjrymny834\tasksche.exe”

或者

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834

4.删除病毒文件:

病毒运行后,释放的文件目录存在于

C:\ProgramData\hnjrymny834

C:\Users\All Users\hnjrymny834

病毒的可执行文件主要有以下文件

C:\WINDOWS\tasksche.exe

C:\ProgramData\hnjrymny834\tasksche.exe

C:\Users\All Users\hnjrymny834\tasksche.exe

其他病毒相关文件还存在于

文件夹 PATH 列表:

C:.

│  00000000.eky

│  00000000.pky

│  00000000.res

│  @Please_Read_Me@.txt

│  @WanaDecryptor@.exe

│  @WanaDecryptor@.exe.lnk

│  b.wnry

│  c.wnry

│  f.wnry

│  out.txt

│  r.wnry

│  s.wnry

│  t.wnry

│  taskdl.exe

│  taskse.exe

│  u.wnry


├─msg

│      m_bulgarian.wnry

│      m_chinese (simplified).wnry

│      m_chinese (traditional).wnry

│      m_croatian.wnry

│      m_czech.wnry

│      m_danish.wnry

│      m_dutch.wnry

│      m_english.wnry

│      m_filipino.wnry

│      m_finnish.wnry

│      m_french.wnry

│      m_german.wnry

│      m_greek.wnry

│      m_indonesian.wnry

│      m_italian.wnry

│      m_japanese.wnry

│      m_korean.wnry

│      m_latvian.wnry

│      m_norwegian.wnry

│      m_polish.wnry

│      m_portuguese.wnry

│      m_romanian.wnry

│      m_russian.wnry

│      m_slovak.wnry

│      m_spanish.wnry

│      m_swedish.wnry

│      m_turkish.wnry

│      m_vietnamese.wnry


└─TaskData

    ├─Data

    │  └─Tor

    └─Tor

            libeay32.dll

            libevent-2-0-5.dll

            libevent_core-2-0-5.dll

            libevent_extra-2-0-5.dll

            libgcc_s_sjlj-1.dll

            libssp-0.dll

            ssleay32.dll

            taskhsvc.exe

            tor.exe

            zlib1.dll

三、参考

http://www.rising.com.cn/2017/eb/

http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/

Wannacry样本取证特征与清除的更多相关文章

  1. Linux XOR.DDoS样本取证特征与清除

    一.取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建 ...

  2. Virut样本取证特征

    1.网络特征 ant.trenz.pl ilo.brenz.pl 2.文件特征 通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件. 3.受感染特 ...

  3. The Art of Memory Forensics-Windows取证(Virut样本取证)

    1.前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔 ...

  4. 准确率99%!基于深度学习的二进制恶意样本检测——瀚思APT 沙箱恶意文件检测使用的是CNN,LSTM TODO

    所以我们的流程如图所示.将正负样本按 1:1 的比例转换为图像.将 ImageNet 中训练好的图像分类模型作为迁移学习的输入.在 GPU 集群中进行训练.我们同时训练了标准模型和压缩模型,对应不同的 ...

  5. Adaboost算法结合Haar-like特征

    Adaboost算法结合Haar-like特征 一.Haar-like特征 目前通常使用的Haar-like特征主要包括Paul Viola和Michal Jones在人脸检测中使用的由Papageo ...

  6. paper 80 :目标检测的图像特征提取之(一)HOG特征

    1.HOG特征: 方向梯度直方图(Histogram of Oriented Gradient, HOG)特征是一种在计算机视觉和图像处理中用来进行物体检测的特征描述子.它通过计算和统计图像局部区域的 ...

  7. 图像特征提取之(一)HOG特征

    1.HOG特征: 方向梯度直方图(Histogram of Oriented Gradient, HOG)特征是一种在计算机视觉和图像处理中用来进行物体检测的特征描述子.它通过计算和统计图像局部区域的 ...

  8. 目标检測的图像特征提取之(一)HOG特征

    1.HOG特征: 方向梯度直方图(Histogram of Oriented Gradient, HOG)特征是一种在计算机视觉和图像处理中用来进行物体检測的特征描写叙述子.它通过计算和统计图像局部区 ...

  9. AdaBoost中利用Haar特征进行人脸识别算法分析与总结1——Haar特征与积分图

    原地址:http://blog.csdn.net/watkinsong/article/details/7631241 目前因为做人脸识别的一个小项目,用到了AdaBoost的人脸识别算法,因为在网上 ...

随机推荐

  1. hdu6447 YJJ's Salesman

    这个题意和数据范围一看就是离散化之后树状数组优化DP.给的"从左下方走上去才能拿到收益"的性质其实可以当成"必须从横纵坐标严格比某个点小的地方转移过来".1A了 ...

  2. Rabbit and Grass HDU - 1849 (Bash+Nim)

    就是Bash 和 Nim 博弈的结合  可以直接 res ^= (Li + 1) % Mi 也可以 sg打个表  我打了个表 #include <iostream> #include &l ...

  3. oracle 11g 从 dmp 文件中导出 sql 代码 的方法.

    impdp sys/password full=y dumpfile=bg.dmp nologfile=y sqlfile=bg_dmp.sql 备注: bg.dmp 是 dmp 文件,   bg_d ...

  4. javascript循环事件只响应最后一次的问题处理

    在所有的面向对象编程语言中,只要涉及到逻辑的代码,常见的问题都是循环创建很多个对象UI,在循环体中对这些对象添加事件.如果不做处理,和其他地方一样的添加事件,其结果都是只响应最后一次循环之后的结果.原 ...

  5. 【BZOJ4903/UOJ300】【CTSC2017】吉夫特

    Description 传送门 ​ 简述题意:给一个序列,询问有多少子序列满足其中不会出现\(a\choose b\)是偶数的情况,其中\(a\)在\(b\)前面. Solution 首先探究组合数的 ...

  6. POJ.1067 取石子游戏 (博弈论 威佐夫博弈)

    POJ.1067 取石子游戏 (博弈论 威佐夫博弈) 题意分析 简单的威佐夫博弈 博弈论快速入门 代码总览 #include <cstdio> #include <cmath> ...

  7. Android 通知之 Notification

    Notifications | Android Developershttp://developer.android.com/guide/topics/ui/notifiers/notificatio ...

  8. 团体程序设计天梯赛 L1-009. N个数求和

    易错题 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <stdboo ...

  9. 【python】python安装lxml报错【2】

    cl : Command line warning D9025 : overriding '/W3' with '/w' lxml.etree.c c:\docume~\admini~.chi\loc ...

  10. Python【操作EXCEL文件】

    #Python中,对EXCEL文件的读写操作需要安装.导入几个第三方模块#xlrd模块:只能读取EXCEL文件,不能进行写操作#xlwt模块:只能进行写操作,但是不能是覆盖写操作(也就是修改Excel ...