加密貨幣挖礦程式補救工作流程
請依照下列步驟補救加密貨幣挖礦程式攻擊。
簡介
加密貨幣挖礦程式是可執行檔案,可竊取 CPU 週期和 RAM,以進行各種加密貨幣的挖礦計算。這些惡意軟體變體通常非常隱秘,因為它們不想造成明顯的傷害,因此可以在裝置的背景中進行挖礦作業。最常見的表現是裝置效能顯著下降。
確認是否為加密貨幣挖礦程式
首先,您需要確定您處理的是加密貨幣挖礦程式還是一些其他基於 Windows Management Instrumentation (WMI) 持久性的感染。若要確認您遇到了加密貨幣挖礦程式感染,請執行下列步驟:
-
使用 Microsoft Autoruns 尋找感染。請參閱如何使用 Microsoft Autoruns 來查找未偵測到的惡意軟體。
WMI 索引標籤中會顯示一個項目。
以下螢幕擷取畫面顯示了加密貨幣挖礦程式的範例。
更新和修補您的系統
確保所有裝置都有最新的 Windows 安全修補程式。您必須確保包含 EternalBlue 入侵程式的修補程式。
EternalBlue 是一種利用 Microsoft SMB 中弱點的入侵程式,WannaCry 勒索軟體尤其使用該入侵程式進行傳播。現在,各種惡意軟體家族都會使用它。修補裝置並移除此感染媒介,讓加密貨幣挖礦程式更難以攻擊,並保護您免受其他使用 EternalBlue 之惡意軟體的侵害。
Microsoft 在 Microsoft 更新中發佈了針對 EternalBlue 的修補程式:MS17-010.Microsoft 官方文章解釋了如何驗證電腦是否具有此修補程式。請參閱如何驗證是否已安裝 MS17-010。
Sophos 具有一個簡單的 PowerShell 指令碼,您可以在各個裝置上執行該指令碼,以確認這些裝置是否具有修補程式。有關此問題的詳細資訊,請參閱如何驗證電腦是否容易受到 EternalBlue 的攻擊 - MS17-010。
若要修補並更新裝置,請執行以下操作:
- 檢查您的裝置是否容易受到 EternalBlue 的攻擊。
- 使用最新的 Windows 安全性修補程式更新您的裝置。
-
使用這些 PowerShell 命令從 WMI 資料庫中擷取事件篩選器、事件取用者和篩選器取用者綁定資訊。
wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt
-
壓縮在
C:\
中產生的.txt
檔案並將其重命名為[Machine_Name_WMI].zip
。 -
在安全的裝置上對照這些範例檢查您的檔案。
EventFilter.txt
CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0} EventAccess= EventNamespace=root\cimv2 Name=**SCM Event Log Filter** Query=select * from MSFT_SCMEventLogEvent QueryLanguage=WQL
EventConsumer.txt
Category=0 CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0} EventID=0 EventType=1 InsertionStringTemplates={""} MachineName= MaximumQueueSize= Name=**SCM Event Log Consumer** NameOfRawDataProperty= NameOfUserSIDProperty=sid NumberOfInsertionStrings=0 SourceName=Service Control Manager UNCServerName=
FilterToConsumerBinding.txt
Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer"" CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0} DeliverSynchronously=FALSE DeliveryQoS= Filter="__EventFilter.Name="**SCM Event Log Filter**"" MaintainSecurityContext=FALSE SlowDownProviders=FALSE
-
如果您的檔案包含的項目與安全裝置中顯示的項目不同或數量更多,請使用這些指令碼清除這些項目。
-
尋找以粗體文字顯示的適當資訊,並在以下指令碼中替換所需的資訊,然後執行這些指令碼。
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject -Verbose Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
-
尋找加密貨幣挖礦程式
加密貨幣挖礦程式是一個可執行檔或一個指令碼,形式是排程的工作或 WMI 項目。
- 使用 Microsoft Autoruns 確定您遇到的加密貨幣挖礦程式類型。
-
如果您有惡意的可執行檔,請提交樣本。請參閱提交樣本。
更新和釋放簽名後,Sophos 會自動從所有裝置中清除簽名。
如果找不到可執行檔,請聯絡 Sophos Rapid Response。
-
如果您有指令碼,請使用以下文章來幫助處理指令碼。
- 如何調查 WannaMine - CryptoJacking 蠕蟲
- 如何移除基於 WMI 的 JavaScript CoinMiner
- Lemon_Duck PowerShell 惡意軟體加密劫持企業網路 - Sophos 新聞:本文章提供針對加密貨幣挖礦程式使用排程工作的有用資訊。
刪除加密貨幣挖礦程式
如果您有惡意的可執行檔,則需要將其移除。
- 刪除所有受感染裝置上偵測到的檔案。
加密貨幣挖礦程式補救影片
本影片涵蓋此工作流程。