Flujo de trabajo de remediación por infección de un criptominero

Siga estos pasos para remediar una infección por un criptominero.

Introducción

Los criptomineros son archivos ejecutables que roban ciclos de CPU y RAM para realizar los cálculos de extracción de varias criptodivisas. Estas variantes de malware suelen ser muy discretas porque no quieren causar un daño explícito y para poder seguir extrayendo criptomonedas en segundo plano en un dispositivo. El síntoma más común es una degradación significativa del rendimiento de un dispositivo.

Confirmar si se trata de un criptominero

En primer lugar, debe determinar si se trata de un criptominero o de alguna otra infección basada en la persistencia del Instrumental de administración de Windows (WMI). Para confirmar que tiene una infección por un criptominero, haga lo siguiente:

1. Utilice Microsoft Autoruns para buscar la infección. Consulte Cómo utilizar Microsoft Autoruns para localizar malware no detectado.

   Aparece una entrada en la ficha WMI.

   La captura de pantalla siguiente muestra un ejemplo de un criptominero.

   

Actualizar y parchear sus sistemas

Asegúrese de que todos los dispositivos tienen los parches de seguridad de Windows más recientes. Debe asegurarse de incluir el parche para el exploit EternalBlue.

EternalBlue es un exploit que se aprovecha de una vulnerabilidad en Microsoft SMB, que fue utilizada notablemente por el ransomware WannaCry para propagarse. Varias familias de malware lo utilizan ahora. Parchear los dispositivos y eliminar este vector de infección dificulta la aparición de criptomineros y le protege contra otro malware que utilice EternalBlue.

Microsoft publicó el parche para EternalBlue en la actualización de Microsoft: MS17-010. El artículo oficial de Microsoft explica cómo verificar si un equipo tiene dicho parche. Consulte Cómo comprobar que MS17-010 está instalado.

Sophos tiene un sencillo script de PowerShell que puede ejecutar en dispositivos individuales para confirmar si tienen el parche. Para obtener más información al respecto, consulte Cómo comprobar si un equipo es vulnerable a EternalBlue - MS17-010.

Para parchear y actualizar sus dispositivos, haga lo siguiente:

1. Compruebe si sus dispositivos son vulnerables a EternalBlue.
2. Actualice sus dispositivos con los parches de seguridad de Windows más recientes.

3. Utilice estos comandos de PowerShell para obtener información vinculante sobre el filtro de eventos, el consumidor de eventos y el consumidor de filtros de la base de datos WMI.

   • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
   • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
   • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

4. Comprima los archivos .txt resultantes generados en C:\ y cámbiele el nombre a [Machine_Name_WMI].zip.

5. Compare sus archivos con estos ejemplos de un dispositivo limpio.

   EventFilter.txt

   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventAccess=
   EventNamespace=root\cimv2
   Name=**SCM Event Log Filter**
   Query=select * from MSFT_SCMEventLogEvent
   QueryLanguage=WQL
   

   EventConsumer.txt

   Category=0
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventID=0
   EventType=1
   InsertionStringTemplates={""}
   MachineName=
   MaximumQueueSize=
   Name=**SCM Event Log Consumer**
   NameOfRawDataProperty=
   NameOfUserSIDProperty=sid
   NumberOfInsertionStrings=0
   SourceName=Service Control Manager
   UNCServerName=
   

   FilterToConsumerBinding.txt

   Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   DeliverSynchronously=FALSE
   DeliveryQoS=
   Filter="__EventFilter.Name="**SCM Event Log Filter**""
   MaintainSecurityContext=FALSE
   SlowDownProviders=FALSE
   

6. Si sus archivos contienen entradas diferentes o más que las mostradas para un dispositivo limpio, utilice estos scripts para limpiarlos.

   1. Busque la información apropiada en el texto en negrita y reemplace la información requerida en los siguientes scripts y ejecútelos.

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
      Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
      wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
      

Localizar el criptominero

Un criptominero es un archivo ejecutable o un script en forma de tarea programada o entrada WMI.

1. Utilice Microsoft Autoruns para determinar qué tipo de criptominero tiene.

2. Si tiene un archivo ejecutable malicioso, envíenos una muestra. Consulte Enviar una muestra.

   Una vez actualizadas y publicadas las firmas, Sophos las limpia automáticamente de todos los dispositivos.

   Si no puede encontrar el archivo ejecutable, póngase en contacto con Sophos Rapid Response.

3. Si tiene un script, utilice los siguientes artículos para ayudarle a gestionarlo.

   • Cómo investigar el gusano de criptojacking WannaMine
   • Cómo eliminar el criptominero JavaScript CoinMiner basado en WMI
   • El malware de PowerShell Lemon_Duck criptojackea las redes empresariales – Sophos News Este artículo contiene información útil si el criptominero está utilizando tareas programadas.

Eliminar el criptominero

Si tiene un archivo ejecutable malicioso, debe eliminarlo.

1. Elimine los archivos detectados en todos los dispositivos infectados.

Vídeo de remediación por infección de un criptominero

Este vídeo detalla el flujo de trabajo de remediación por esta infección.