一、取证特征

1)网络域名特征

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

2)文件特征

母体文件

mssecsvc.exe   

c:\\WINDOWS\\tasksche.exe

c:\\WINDOWS\\qeriuwjhrf

3)系统现象

CPU占用率100%

4)系统补丁号

Windows XP SP3    KB4012598

Windows XP x64 SP2    KB4012598

Windows 2003 SP2    KB4012598

Windows 2003 x64 SP2    KB4012598

Windows Vista Windows Server 2008    KB4012598

Windows 7    KB4012212

Windows Server 2008 R2    KB4012215

Windows 8.1    KB4012213

Windows 8.1    KB4012216

Windows Server2012    KB4012214

Windows Server2012    KB4012217

Windows Server2012 R2    KB4012213

Windows Server2012 R2    KB4012216

Windows 10    KB4012606

Windows 10 1511    KB4013198

Windows 10 1607    KB4013429

二、已感染病毒主机处置

1)感染主机处置

针对已感染WannaCry病毒的主机,首先进行断网隔离,判断加密文件的重要性,决定是否格式化磁盘重装系统,还是保持断网状态等待进一步解密进展。

如果内网存在主机无法访问外部网络的情况,需要迅速在内网中添加DNS解析,将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某台内网中可以访问的主机上,确保内网主机可以访问该域名,阻断蠕虫的进一步传播。

2)病毒清除

在被感染主机上,需要对蠕虫进行清除:

1. 关闭进程:

关闭tasksche.exe进程:

不完全执行的状态下,还可能有mssecsvc.exe,即最初启动的那个进程,在后续完全执行的状态下,还可能有其他tor等的进程。

2.删除相关服务:

(1)删除服务mssecsvc2.0,服务路径:

C:/WINDOWS/tasksche.exe或者C:/WINDOWS/mssecsvc.bin -m security

(2)删除hnjrymny834(该服务名可能随机)服务:

查找对应的路径,在其路径名下删除可执行文件。

3.清除注册表项:

在注册表中,删除以下键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 “C:\ProgramData\hnjrymny834\tasksche.exe”

或者

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834

4.删除病毒文件:

病毒运行后,释放的文件目录存在于

C:\ProgramData\hnjrymny834

C:\Users\All Users\hnjrymny834

病毒的可执行文件主要有以下文件

C:\WINDOWS\tasksche.exe

C:\ProgramData\hnjrymny834\tasksche.exe

C:\Users\All Users\hnjrymny834\tasksche.exe

其他病毒相关文件还存在于

文件夹 PATH 列表:

C:.

│  00000000.eky

│  00000000.pky

│  00000000.res

│  @Please_Read_Me@.txt

│  @WanaDecryptor@.exe

│  @WanaDecryptor@.exe.lnk

│  b.wnry

│  c.wnry

│  f.wnry

│  out.txt

│  r.wnry

│  s.wnry

│  t.wnry

│  taskdl.exe

│  taskse.exe

│  u.wnry


├─msg

│      m_bulgarian.wnry

│      m_chinese (simplified).wnry

│      m_chinese (traditional).wnry

│      m_croatian.wnry

│      m_czech.wnry

│      m_danish.wnry

│      m_dutch.wnry

│      m_english.wnry

│      m_filipino.wnry

│      m_finnish.wnry

│      m_french.wnry

│      m_german.wnry

│      m_greek.wnry

│      m_indonesian.wnry

│      m_italian.wnry

│      m_japanese.wnry

│      m_korean.wnry

│      m_latvian.wnry

│      m_norwegian.wnry

│      m_polish.wnry

│      m_portuguese.wnry

│      m_romanian.wnry

│      m_russian.wnry

│      m_slovak.wnry

│      m_spanish.wnry

│      m_swedish.wnry

│      m_turkish.wnry

│      m_vietnamese.wnry


└─TaskData

    ├─Data

    │  └─Tor

    └─Tor

            libeay32.dll

            libevent-2-0-5.dll

            libevent_core-2-0-5.dll

            libevent_extra-2-0-5.dll

            libgcc_s_sjlj-1.dll

            libssp-0.dll

            ssleay32.dll

            taskhsvc.exe

            tor.exe

            zlib1.dll

三、参考

http://www.rising.com.cn/2017/eb/

http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/

Wannacry样本取证特征与清除的更多相关文章

  1. Linux XOR.DDoS样本取证特征与清除

    一.取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建 ...

  2. Virut样本取证特征

    1.网络特征 ant.trenz.pl ilo.brenz.pl 2.文件特征 通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件. 3.受感染特 ...

  3. The Art of Memory Forensics-Windows取证(Virut样本取证)

    1.前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔 ...

  4. 准确率99%!基于深度学习的二进制恶意样本检测——瀚思APT 沙箱恶意文件检测使用的是CNN,LSTM TODO

    所以我们的流程如图所示.将正负样本按 1:1 的比例转换为图像.将 ImageNet 中训练好的图像分类模型作为迁移学习的输入.在 GPU 集群中进行训练.我们同时训练了标准模型和压缩模型,对应不同的 ...

  5. Adaboost算法结合Haar-like特征

    Adaboost算法结合Haar-like特征 一.Haar-like特征 目前通常使用的Haar-like特征主要包括Paul Viola和Michal Jones在人脸检测中使用的由Papageo ...

  6. paper 80 :目标检测的图像特征提取之(一)HOG特征

    1.HOG特征: 方向梯度直方图(Histogram of Oriented Gradient, HOG)特征是一种在计算机视觉和图像处理中用来进行物体检测的特征描述子.它通过计算和统计图像局部区域的 ...

  7. 图像特征提取之(一)HOG特征

    1.HOG特征: 方向梯度直方图(Histogram of Oriented Gradient, HOG)特征是一种在计算机视觉和图像处理中用来进行物体检测的特征描述子.它通过计算和统计图像局部区域的 ...

  8. 目标检測的图像特征提取之(一)HOG特征

    1.HOG特征: 方向梯度直方图(Histogram of Oriented Gradient, HOG)特征是一种在计算机视觉和图像处理中用来进行物体检測的特征描写叙述子.它通过计算和统计图像局部区 ...

  9. AdaBoost中利用Haar特征进行人脸识别算法分析与总结1——Haar特征与积分图

    原地址:http://blog.csdn.net/watkinsong/article/details/7631241 目前因为做人脸识别的一个小项目,用到了AdaBoost的人脸识别算法,因为在网上 ...

随机推荐

  1. PGM学习之一

    一 课程基本信息 本课程是由Prof.Daphne Koller主讲,同时得到了Prof. Kevin Murphy的支持,在coursera上公开传播.在本课程中,你将学习到PGM(Probabil ...

  2. Backdooring a OS VM

    Backdooring a OS VM 来源   https://www.cnblogs.com/studyskill/p/6524672.html 提示: 1.经过实验,fortios 5.4 be ...

  3. Spring boot项目集成Sharding Jdbc

    环境 jdk:1.8 framework: spring boot, sharding jdbc database: MySQL 搭建步骤 在pom 中加入sharding 依赖 <depend ...

  4. 【纪中集训2019.3.23】IOer

    题目 描述 你要在\(m\)天内,刷\(n\)道题,每天可以刷的题的数目不限: 第\(i\)天可以刷的题目的种类是\(ui+v\): 两种刷题的方案不同当且仅当某天刷题的数量不同或者依次刷题的种类不同 ...

  5. 音视频处理之FFmpeg+SDL+MFC视频播放器20180411

    一.FFmpeg+SDL+MFC视频播放器 1.MFC知识 1).创建MFC工程的方法 打开VC++ 文件->新建->项目->MFC应用程序 应用程序类型->基于对话框 取消勾 ...

  6. 《剑指offer》— JavaScript(15)反转链表

    反转链表 题目描述 输入一个链表,反转链表后,输出链表的所有元素. *** 思路 (本题链表默认无头结点) pHead为当前结点,如果当前结点为空的话,直接返回: pHead为当前结点,pre为当前结 ...

  7. MVC中使用RadioButtonFor

    http://shw3588.blog.163.com/blog/static/6507576201321395845538/ 1 进行初始化 <%=Html.RadioButtonFor(mo ...

  8. 关于strassen矩阵乘法的矩阵大小不是2^k的形式时,时间复杂度是否还是比朴素算法好的看法

    原来是n,找到大于等于n且是2^k形式的数m.n*n的矩阵补全为m*m的矩阵,原来的矩阵放在最左上方,其它位置的值为0.朴素方法:n^3现在:m^2.8即m/n需小于e^(3/2.8)=2.919才能 ...

  9. Activiti工作流的应用示例 (官方guide项目方式)

    转: Activiti工作流的应用示例 1.新建流程模型 模型管理->模型工作区 点击“创建”后会立即跳转到“流程在线设计器”页面,请参考下一节 2.在线流程设计器 模型管理->模型工作区 ...

  10. Chapter4(表达式) --C++Prime笔记

    1.重载运算符:为已经存在的运算符赋予另外一层含义. 2.左值与右值:   ①当一个对象被用作右值的时候,用的是对象的值(内容):当一个对象被用作左值的时候,用的是对象的身份(在内存中的位置). ②在 ...