月12日,一個駭客坐在電腦前,輕輕按下了Enter鍵。這個看似無足輕重的動作,卻掀起了全球七十多個國家、數十億用戶對網絡安全的恐慌。“你的電腦已經被鎖,文件全部被加密,除非你支付價值等額300美元的比特幣,否則這些文件將被永久刪除。”這樣的一句話,同時也又將比特幣再次帶入人們的視野當中。也掀起了一翻熱議,關于是否是比特幣的錯,關于下一步怎么辦。
深圳招股科技聯合創始人程超說道:比特幣作為一種匿名轉賬的數字資產,其匿名特性成為黑客首要看重的特性。比特幣地址是一串英文字符亂碼,不綁定任何用戶信息,所以單純從比特幣地址無法追蹤到用戶信息,這讓黑客可以更簡單地規避追捕和監管。這也是為什么選擇比特幣的原因。
對于這次事件,大家紛紛反思,認為此類事件還應以預防為主。然而,網絡安全專家劉博士說道:普通小白用戶除了按照推薦設置開啟系統防火墻、打開系統更新、安裝殺毒軟件、不訪問可疑網絡內容、小心使用可插拔存儲之外,似乎沒什么可做的。并且,看似十分牢靠的備份在這種情況下,也沒有什么太大的用處。陳新說道:對于此次攻擊,即便政府有備份,但多數是離線備份,實時的業務數據一旦故障就無法更新,公共信息的服務基本都是動態的,所以大家誤以為不能使用。此外,觸發備份任務時,會涉及網絡鏈接,許多備份策略基于445端口,因此源文件及備份文件會一并感染。
對此,小編認為,還是應該加大對我國頂級電腦技術人員的培養,能夠做到提前攔截,使之從源頭處消失。
急通知!!!
處理方式有兩步,保證妥妥的安全
1 卸載TeamViewer應用程序
2 限制訪問端口5938
下面主要講下端口的限制《win10中的限制,其他的可以私信留言協助》
A 找到防火墻中高級設置
B 選擇高級設置后,出現如下圖,選擇“入站規則”,再選擇:“新建規則”
C 選擇“端口”
D 下一步 設置需要阻止的端口號5938
F 下一步 選擇“阻止鏈接”切記 切記
E 下一步默認 ,在下一步如下“取個名字”,點擊完成即可
有需要幫助的小伙伴,可以留言
點下關注~!
文件分析
1.1 臨時目錄排查
黑客往往可能將病毒放在臨時目錄(tmp/temp),或者將病毒相關文件釋放到臨時目錄,因此需要檢查臨時目錄是否存在異常文件。
假設系統盤在C盤,則通常情況下的臨時目錄如下:
C:\Users\[用戶名]\Local Settings\Temp
C:\Documents and Settings\[用戶名]\Local Settings\Temp
C:\Users\[用戶名]\桌面
C:\Documents and Settings\[用戶名]\桌面
C:\Users\[用戶名]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[用戶名]\Local Settings\Temporary Internet Files
注:[用戶名] 根據實際環境用戶得出,常見用戶名是Administrator,建議所有用戶都檢查一下。
1.2 瀏覽器相關文件
黑客可能通過瀏覽器下載惡意文件,或者盜取用戶信息,因此需要檢查下瀏覽器的歷史訪問記錄、文件下載記錄、cookie信息,對應相關文件目錄如下:
C:\Users\[用戶名]\Cookies
C:\Documents and Settings\[用戶名]\Cookies
C:\Users\[用戶名]\Local Settings\History
C:\Documents and Settings\[用戶名]\Local Settings\History
C:\Users\[用戶名]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[用戶名]\Local Settings\Temporary Internet Files
1.3 最近打開文件
檢查下最近打開了哪些文件,可疑文件有可能就在最近打開的文件中,打開以下這些目錄即可看到:
C:\Users\[用戶名]\Recent
C:\Documents and Settings\[用戶名]\Recent
1.4 文件修改時間
可以根據文件夾內文件列表時間進行排序,查找可疑文件。一般情況下,修改時間越近的文件越可疑。當然,黑客也有可能修改”修改日期“。
注:點擊”修改日期“,使之按最近修改時間排序,優先檢查下”修改日期“最近的文件。
1.5 System32目錄與hosts文件
System32也是常見的病毒釋放目錄,因此也要檢查下該目錄。hosts文件是系統配置文件,用于本地DNS查詢的域名設置,可以強制將某個域名對應到某個IP上,因此需要檢查hosts文件有沒有被黑客惡意篡改。
C:\Windows\System32
C:\Windows\System32\drivers\hosts
這里以hosts文件為例,如上圖,檢查3種異常:
1.知名站點,檢查對應IP是否真的歸屬該站點,防止”釣魚“
2.未知站點,檢查該域名和IP是否惡意
3.無法訪問的安全站點,即IP是否指向127.0.0.1、0.0.0.0等本地地址、無效地址
2 網絡行為排查
2.1 重要輔助站點
1. https://www.virustotal.com/ , 國外知名安全站點,需翻墻,可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進行病毒掃描。
2. https://x.threatbook.cn/ , 國內威脅情報站點,可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進行病毒掃描。
3. http://beian.cndns.com/,國內站點備案查詢,所有有企業備案的國內站點可認為是可信站點。
4. http://www.alexa.com/,全球站點排行查詢,top100萬的站點可認為是可信站點(國外站點沒有備案這一說法)。
5. Google與Baidu等搜索引擎,輸入文件MD5/IP/域名,有時候可以查詢到對應病毒信息。
2.2 網絡連接排查
使用命令 netstat -ano 查看當前的網絡連接,排查可疑的服務、端口,外連的IP。
如發現netstat定位出的pid有問題,可再通過tasklist命令進一步追蹤該可疑程序。
2.3 流量分析
流量分析可以使用Wireshark,主要分析下當前主機訪問了哪些域名、URL、服務,或者有哪些外網IP在訪問本地主機的哪些端口、服務和目錄,又使用了何種協議等等。
例如,使用Wireshark觀察到,主機訪問了sjb555.3322.org這種動態域名,即可粗略猜測這是一個C&C服務器。
2.4 漏洞與補丁信息
使用命令systeminfo,查看系統版本信息以及補丁信息,確認當前系統是否存在漏洞、是否已經打了相應的補丁。
可重點關注下遠程命令執行漏洞,如MS08-067、MS09-001、MS17-010(永恒之藍)……
3 可疑進程分析
3.1 進程名字異常與偽裝
進程名字異常是指某些進程的名字是隨機產生的,因此高度可疑,例如:
某感染環境,打開任務管理器,發現有大量名字隨機的進程,如hrlB3.tmp、hrlCC.tmp、hrlCD.tmp、hrlC3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。不僅文件后綴不是典型的exe,名字也是隨機產生的,這種肯定是異常進程。
進程名字偽裝是指某些進程的名字偽裝成跟系統進程名字相似的名字,目的是為了混淆視聽,使經驗不足或看走眼的管理員以為是正常進程或文件。
3.2 進程信息排查
進程信息的排查推薦使用PC Hunter、Process Hacker。
PC Hunter(官網www.xuetr.com)是一個Windows系統信息查看軟件,可協助排查木馬、后門等病毒,功能包含:
1.進程、線程、進程模塊、進程窗口、進程內存、定時器、熱鍵信息查看,殺進程、殺線程、卸載模塊等功能
2.內核驅動模塊查看,支持內核驅動模塊的內存拷貝
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持對這些Notify Routine的刪除
5.端口信息查看
6.查看消息鉤子
7.內核模塊的iat、eat、inline hook、patches檢測和恢復
8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測,并支持刪除
9.注冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.文件系統查看,支持基本的文件操作
12.查看(編輯)IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火墻規則、IME
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.內核對象劫持檢測
17.其它一些手工殺毒時需要用到的功能,如修復LSP、修復安全模式等
界面如下圖所示,可重點檢查下顏色為紅色的異常項:
此外,Process Hacker也一款不錯的進程分析工具,可以通過這個工具尋找有異常網絡連接的進程,也可直接dump進程的內存空間,發現隱藏的模塊。
3.3 模塊空間檢查
找到可疑進程并不意味著該進程對應的exe文件就是病毒,有些病毒可能是將惡意dll注入到系統進程中去的。
對于可疑進程,需要將進程所加載的模塊都檢查一下,例如利用Process Hacker,雙擊可疑進程,即可查看其加載的模塊如下:
4 啟動項排查
4.1 排查Logon啟動項
黑客為了保持病毒能夠開機啟動、登錄啟動或者定時啟動,通常會有相應的啟動項,因此有必要找出異常啟動項,并刪除之。啟動項的排查,這里引入一個非常好用的工具,工具名字Autoruns(官網www.sysinternals.com)。
點擊運行Autoruns,首先檢查Logon(登錄啟動項),如下圖:
檢查是否登錄的時候啟動了異常的程序。
4.2 服務啟動項
病毒也有可能是以創建服務啟動項的方式保持長久運行,點擊Autoruns的Services功能,如下圖,檢查是否有異常的服務啟動項。
4.3 定時或計劃任務
如果有定時或計劃任務啟動項,也要檢查下(點擊Autoruns的Scheduled Tasks功能)。通常這一項是空白的,如下圖。如果有內容,則需要排查確認是否有某些應用或服務創建了這些啟動項。
4.4 其它啟動項
其它所有的啟動項,均可以在”Everything“那一欄找到,這里面的啟動項也有可能是病毒創建的,需排查之。