關(guān)于ProtectionX新型挖礦病毒的預(yù)警

一、概要

近期，出現(xiàn)一種新型挖礦病毒（ProtectionX），該病毒利用永恒之藍(lán)安全漏洞，首次發(fā)現(xiàn)具備自我保護(hù)功能，與普通挖礦病毒有很大差異。感染主機(jī)主要是被用于挖礦，多表現(xiàn)為異常卡頓，嚴(yán)重影響主機(jī)性能和業(yè)務(wù)正常運(yùn)行。該病毒使用了驅(qū)動(dòng)保護(hù)，無法通過任務(wù)管理器中止病毒進(jìn)程，查殺難度較高。

請涉及威脅的租戶根據(jù)自身業(yè)務(wù)情況，采取防護(hù)措施。

二、概要

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

開啟了445端口SMB網(wǎng)絡(luò)共享協(xié)議，未及時(shí)更新系統(tǒng)補(bǔ)丁或未采取終端安全防護(hù)措施的Windows系統(tǒng)（包括個(gè)人版和服務(wù)器版）。

四、排查和處置方法

排查方法：

1.檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補(bǔ)丁包；

2.檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議或者不必要的系統(tǒng)服務(wù)端口；

3.檢查內(nèi)網(wǎng)是否有主機(jī)訪問pool.minexmr.com:7777；

4.檢查系統(tǒng)是否存在異常運(yùn)行的1sass.exe、wuauc1t.exe和win1ogon.exe進(jìn)程；

5.檢查系統(tǒng)是否存在注冊表項(xiàng)HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font。

處置方案：

1.隔離感染主機(jī)：已中毒計(jì)算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡;

2.切斷傳播途徑：關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問；

3.查找攻擊源：手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析，確認(rèn)全網(wǎng)感染數(shù)量；

4.查殺病毒：可使用以下工具進(jìn)行查殺（http://edr.sangfor.com.cn/tool/SfabAntiBot.zip），或者可使用華為云防病毒工具進(jìn)行查殺（推薦使用華為云市場軟件）；

5.強(qiáng)制刪除病毒程序：可以嘗試使用PC Hunter強(qiáng)制刪除并結(jié)束進(jìn)程1sass.exe、wuauc1t.exe、win1ogon.exe；

6.刪除注冊表項(xiàng)：HKLM\software\microsoft\windows\CurrentVersion\Run\Registered font；

7.設(shè)置復(fù)雜密碼：如果主機(jī)賬號(hào)使用簡單密碼，建議重置為高強(qiáng)度的密碼。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點(diǎn)擊來源不明的郵件以及附件；

2. 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞；

3. 修改密碼：設(shè)置主機(jī)賬號(hào)密碼為高強(qiáng)度的密碼；

4. 對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口，如： 135、139、445等。

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。