Fluxo de remediação de mineradores de moedas

Siga estas etapas para remediar um ataque de minerador de moedas.

Introdução

Os mineradores de moedas são arquivos executáveis que roubam ciclos de CPU e RAM para fazer os cálculos de mineração de várias criptomoedas. Essas variantes de malware geralmente são bastante furtivas porque elas não querem causar danos explícitos, de modo a manterem a mineração em segundo plano no dispositivo. O sintoma mais comum é uma degradação significativa no desempenho do dispositivo.

Confirme se é um minerador de moedas

Primeiro, você precisa determinar se está lidando com um minerador de moedas ou alguma outra infecção baseada em persistência da Instrumentação de Gerenciamento do Windows (WMI). Para confirmar que você tem uma infecção por um minerador de moeda, faça o seguinte:

1. Use as execuções automáticas do Microsoft Autoruns para localizar a infecção. Consulte Como usar o Microsoft Autoruns para localizar malware não detetado.

   Uma entrada é exibida na guia WMI.

   A captura de tela abaixo mostra um exemplo de um minerador de moedas.

   

Atualize e aplique patches a seus sistemas

Verifique se todos os seus dispositivos têm os patches de segurança mais recentes do Windows. Certifique-se de incluir o patch do exploit EternalBlue.

EternalBlue é um exploit que aproveita uma vulnerabilidade no Microsoft SMB, que foi usada principalmente pelo ransomware WannaCry para se disseminar. Várias famílias de malware agora usam isso. A aplicação de patches a dispositivos e a remoção desse vetor de infecção dificulta o trabalho dos mineradores de moedas e protege você contra outros malwares que usam o EternalBlue.

A Microsoft lançou o patch para EternalBlue na atualização da Microsoft: MS17-010. O artigo oficial da Microsoft explica como verificar se um computador tem o patch. Consulte Como verificar se a MS17-010 está instalada.

A Sophos tem um script simples do PowerShell que você pode executar em dispositivos individualmente para confirmar se eles têm o patch. Para obter mais informações sobre isso, consulte Como verificar se uma Máquina está vulnerável a SternalBlue - MS17-010.

Para aplicar patches aos seus dispositivos e atualizá-los, siga este procedimento:

1. Verifique se os seus dispositivos estão vulneráveis ao EternalBlue.
2. Atualize seus dispositivos com os patches de segurança mais recentes do Windows.

3. Use esses comandos do PowerShell para extrair informações de associação do filtro do evento, consumidor do evento e consumidor do filtro do banco de dados WMI.

   • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
   • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
   • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

4. Compacte os arquivos .txt resultantes gerados no C:\ e renomeie-os para [Machine_Name_WMI].zip.

5. Verifique seus arquivos em relação a esses exemplos usando um dispositivo limpo.

   EventFilter.txt

   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventAccess=
   EventNamespace=root\cimv2
   Name=**SCM Event Log Filter**
   Query=select * from MSFT_SCMEventLogEvent
   QueryLanguage=WQL
   

   EventConsumer.txt

   Category=0
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventID=0
   EventType=1
   InsertionStringTemplates={""}
   MachineName=
   MaximumQueueSize=
   Name=**SCM Event Log Consumer**
   NameOfRawDataProperty=
   NameOfUserSIDProperty=sid
   NumberOfInsertionStrings=0
   SourceName=Service Control Manager
   UNCServerName=
   

   FilterToConsumerBinding.txt

   Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   DeliverSynchronously=FALSE
   DeliveryQoS=
   Filter="__EventFilter.Name="**SCM Event Log Filter**""
   MaintainSecurityContext=FALSE
   SlowDownProviders=FALSE
   

6. Se os arquivos contiverem entradas diferentes ou mais entradas do que as mostradas para um dispositivo limpo, use esses scripts para limpá-los.

   1. Encontre as informações apropriadas no texto em negrito, substitua as informações necessárias nos scripts a seguir e execute-os.

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
      Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
      wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
      

Encontre o minerador de moedas

Um minerador de moedas é um arquivo executável ou um script na forma de uma tarefa programada ou entrada WMI.

1. Use o Microsoft Autoruns para determinar que tipo de minerador de moedas você tem.

2. Se houver um arquivo executável mal-intencionado, envie-nos uma amostra. Consulte Enviar uma amostra.

   Após as assinaturas serem atualizadas e liberadas, o Sophos as limpa automaticamente em todos os dispositivos.

   Se você não conseguir encontrar o arquivo executável, entre em contato com o Sophos Rapid Response.

3. Se você tiver um script, use os seguintes artigos para ajudá-lo a lidar com ele.

   • Como investigar o worm WannaMine - CryptoJacking
   • Como remover o CoinMiner JavaScript baseado em WMI
   • Lemon_Duck PowerShell malware cryptojacks enterprise networks – Sophos News: Este artigo contém informações úteis se o minerador de moedas estiver usando tarefas programadas.

Exclua o minerador de moedas

Se você tiver um arquivo executável mal-intencionado, será necessário removê-lo.

1. Exclua os arquivos detectados de todos os dispositivos infectados.

Vídeo de remediação de mineradores de moedas

Este vídeo aborda este fluxo de trabalho.