加密貨幣挖礦程式補救工作流程

請依照下列步驟補救加密貨幣挖礦程式攻擊。

簡介

加密貨幣挖礦程式是可執行檔案，可竊取 CPU 週期和 RAM，以進行各種加密貨幣的挖礦計算。這些惡意軟體變體通常非常隱秘，因為它們不想造成明顯的傷害，因此可以在裝置的背景中進行挖礦作業。最常見的表現是裝置效能顯著下降。

確認是否為加密貨幣挖礦程式

首先，您需要確定您處理的是加密貨幣挖礦程式還是一些其他基於 Windows Management Instrumentation (WMI) 持久性的感染。若要確認您遇到了加密貨幣挖礦程式感染，請執行下列步驟：

1. 使用 Microsoft Autoruns 尋找感染。請參閱如何使用 Microsoft Autoruns 來查找未偵測到的惡意軟體。

   WMI 索引標籤中會顯示一個項目。

   以下螢幕擷取畫面顯示了加密貨幣挖礦程式的範例。

   

更新和修補您的系統

確保所有裝置都有最新的 Windows 安全修補程式。您必須確保包含 EternalBlue 入侵程式的修補程式。

EternalBlue 是一種利用 Microsoft SMB 中弱點的入侵程式，WannaCry 勒索軟體尤其使用該入侵程式進行傳播。現在，各種惡意軟體家族都會使用它。修補裝置並移除此感染媒介，讓加密貨幣挖礦程式更難以攻擊，並保護您免受其他使用 EternalBlue 之惡意軟體的侵害。

Microsoft 在 Microsoft 更新中發佈了針對 EternalBlue 的修補程式：MS17-010.Microsoft 官方文章解釋了如何驗證電腦是否具有此修補程式。請參閱如何驗證是否已安裝 MS17-010。

Sophos 具有一個簡單的 PowerShell 指令碼，您可以在各個裝置上執行該指令碼，以確認這些裝置是否具有修補程式。有關此問題的詳細資訊，請參閱如何驗證電腦是否容易受到 EternalBlue 的攻擊 - MS17-010。

若要修補並更新裝置，請執行以下操作：

1. 檢查您的裝置是否容易受到 EternalBlue 的攻擊。
2. 使用最新的 Windows 安全性修補程式更新您的裝置。

3. 使用這些 PowerShell 命令從 WMI 資料庫中擷取事件篩選器、事件取用者和篩選器取用者綁定資訊。

   • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
   • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
   • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

4. 壓縮在 C:\ 中產生的 .txt 檔案並將其重命名為 [Machine_Name_WMI].zip。

5. 在安全的裝置上對照這些範例檢查您的檔案。

   EventFilter.txt

   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventAccess=
   EventNamespace=root\cimv2
   Name=**SCM Event Log Filter**
   Query=select * from MSFT_SCMEventLogEvent
   QueryLanguage=WQL
   

   EventConsumer.txt

   Category=0
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventID=0
   EventType=1
   InsertionStringTemplates={""}
   MachineName=
   MaximumQueueSize=
   Name=**SCM Event Log Consumer**
   NameOfRawDataProperty=
   NameOfUserSIDProperty=sid
   NumberOfInsertionStrings=0
   SourceName=Service Control Manager
   UNCServerName=
   

   FilterToConsumerBinding.txt

   Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   DeliverSynchronously=FALSE
   DeliveryQoS=
   Filter="__EventFilter.Name="**SCM Event Log Filter**""
   MaintainSecurityContext=FALSE
   SlowDownProviders=FALSE
   

6. 如果您的檔案包含的項目與安全裝置中顯示的項目不同或數量更多，請使用這些指令碼清除這些項目。

   1. 尋找以粗體文字顯示的適當資訊，並在以下指令碼中替換所需的資訊，然後執行這些指令碼。

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
      Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
      wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
      

尋找加密貨幣挖礦程式

加密貨幣挖礦程式是一個可執行檔或一個指令碼，形式是排程的工作或 WMI 項目。

1. 使用 Microsoft Autoruns 確定您遇到的加密貨幣挖礦程式類型。

2. 如果您有惡意的可執行檔，請提交樣本。請參閱提交樣本。

   更新和釋放簽名後，Sophos 會自動從所有裝置中清除簽名。

   如果找不到可執行檔，請聯絡 Sophos Rapid Response。

3. 如果您有指令碼，請使用以下文章來幫助處理指令碼。

   • 如何調查 WannaMine - CryptoJacking 蠕蟲
   • 如何移除基於 WMI 的 JavaScript CoinMiner
   • Lemon_Duck PowerShell 惡意軟體加密劫持企業網路 - Sophos 新聞：本文章提供針對加密貨幣挖礦程式使用排程工作的有用資訊。

刪除加密貨幣挖礦程式

如果您有惡意的可執行檔，則需要將其移除。

1. 刪除所有受感染裝置上偵測到的檔案。

加密貨幣挖礦程式補救影片

本影片涵蓋此工作流程。