可能是最全面的“驱动人生”挖矿病毒防范攻略

“驱动人生”挖矿病毒利用“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播,在多次变种之后,此病毒又集成了mimikatz黑客工具(用于窃取系统密码)以及MicrosoftSQLServer弱口令扫描工具模块进行传播,最终此病毒下载云控木马,在被感染电脑终端进行门罗币挖矿。

感染病毒后系统症状

1、机器卡顿,CPU占用100%,任务管理器中存在大量PowerShell进程,并且占用大量CPU资源。

2、任务计划程序中存在以MAC地址命名的计划任务和BlueTooths计划任务,计划任务具体路径为\Microsoft\Windows,计划任务的内容为PowerShell启动的一串脚本。

3、同时c:\windows\temp可能存在mkatz.ini,m2.ps1等文件。

处理方案

1、请先了解客户环境,如果客户环境终端数量很多,不方便单点使用AvbTool工具的,可以先使用DCT下发部署方案【参考工具及策略详细说明第2部分】来查杀病毒。

2、为了确保之后的操作能够流畅进行,建议先对CPU占用达到100%的计算机进行一次病毒查杀。使用AvbTool专杀工具【参考工具及策略详细说明第1部分】查杀即可(部署了DCT的客户端使用全盘扫描即可)。

然后使用以下工具关闭其他能够窃取凭证的路径:

5、如果系统中有k8h3d的账户,请删除此账户,并且修改其他账户密码,如果有域,建议对整域用户进行密码修改,完成后重启计算机,再次使用AvbTool专杀工具【工具及策略详细说明第1部分】查杀确保系统已经正常(部署了DCT的客户端使用全盘扫描即可)。

6、如果遇到安装有mssql数据库的计算机病毒反复产生,建议排查mssql的账户口令强度是否较弱,及时修改密码。完成后使用AvbTool专杀工具【工具及策略详细说明第1部分】查杀(部署了DCT的客户端使用全盘扫描即可)。

7、如果中毒计算机为WindowsXP以及WindowsServer2003系统,步骤4无法完成,那么建议先关闭所有共享(IPC$除外)【工具及策略详细说明第3部分】,完成后再使用AvbTool专杀工具【工具及策略详细说明第1部分】查杀(部署了DCT的客户端使用全盘扫描即可)

8、禁用PowerShell方案。对于一些不需要使用PowerShell的机器(需得到用户确认),可以禁用PowerShell。禁用方法如下:

①OSCE行为监控阻止PowerShell,通过OSCE控制台统一下发阻止策略【参考工具及策略详细说明第4部分】。

②使用AppLocker禁用PowerShell,该方法适用于单机版本禁用PowerShell,域控部署方法建议用户咨询管理员或者微软【参考工具及策略详细说明第5部分】。

工具及策略详细说明

一、AvbTool专杀工具

解压缩口令novirus

使用方法:

1)下载AvbTool_1904021123.zip,解压缩到文件夹,双击运行AVBShow.exe

2)选择“病毒行为查杀”后点击扫描按钮,如果有检测出病毒,请点击清除按钮清除病毒。

3)工具查杀效果,具体检测到的病毒文件可以通过专杀工具文件夹中的log文件查看:

二、DCT专杀工具

下载地址:

解压缩口令:novirus

DCT专杀工具适用于如下情况:

1、使用以下参数运行cmd和powershell进程:

"-epbypass-e"–initialobfuscatedprocess

"/newol.dat"–trojandownloaderprocess

"/d64.dat"–coinminerprocessfor64-bitsystems

"/d32.dat"–coinminerprocessfor32-bitsystems

2、带有以下参数的Powershell计划任务

“-nop–epbypass–e”

“-epbypass–e”

“Appdata\Roaming\Microsoft\cred.ps1”

3、包含以下子字符串的ImagePath值的20个字符的服务注册表项::"netsh.exefirewalladdportopeningtcp65533"

"schtasks/create/rusystem"

"powershell-nop-epbypass-e"

"powershell-epbypass-e"

专杀工具单机使用方法:

1、将TSC_TROJ_PCASTLE_1607v2.zip解压缩,解压缩口令novirus;

2、64位系统请运行tsc64.exe文件,32位系统运行tsc.exe文件,右键管理员权限运行;

3、专杀工具运行完毕后,会生成Report文件夹,该文件夹中包含log文件,可以查看清除结果。

专杀工具服务器端部署方法:

2、把解压缩的tsc.ptn和tsc.exe,tsc64.exe文件复制到..\PCCSRV\Admin文件夹下面,覆盖原来的文件

3、等几秒钟让officescan服务器运用更新的设置

..\PCCSRV\Download\Pattern\tscptn.zip..\PCCSRV\Download\Engine\TSC.zip

Officescan服务器会把Dce/Dct文件部署到客户端

测试结果:

三、关闭计算机共享

1)管理员权限打开命令行,输入netshare

2)针对已经开启的共享全部关闭(IPC$除外),例如关闭c$共享,命令:netsharec$/del

四、OSCE行为监控阻止PowerShell

1)通过OSCE控制台统一下发阻止策略

设置方法:OSCE控制台->客户端->客户端管理->设置->恶意行为监控设置,将文件全路径添加到阻止列表中

测试结果:组下的所有客户端均可拦截PowerShell操作

2)单机设置允许例外

如果组内有机器需要使用PowerShell,可以对单机设置允许例外,设置方法:

OSCE控制台->客户端->客户端管理->选中具体机器右键->设置->恶意行为监控设置,从阻止列表中删除相应策略并将其加入允许列表。

统一设置恶意行为监控时会对所有客户端统一设置行为监控例外规则,可以单独调整某台或者某计算机组的行为监控设置。注意事项:如已在阻止列表中设置了阻止文件,该文件在添加允许列表时会提示错误信息,需要先将其从阻止列表中删除后方可添加允许列表。

OSCE行为监控拦截测试

1)手动创建PowerShell进程,成功拦截

2)计划任务调用PowerShell,成功拦截

五、使用AppLocker禁用PowerShell

以下操作使用管理员权限

一)创建AppLockerrule

键盘输入Windows徽标+R打开运行窗口,输入gpedit.msc

1、选择计算机配置->Windows设置->安全设置->应用程序控制策略->AppLocker

2、右键点击“可执行规则”,选择“创建新规则”

3、单击“创建新规则”后,打开如下窗口,单击“下一步”:

4、在下图中,操作选项选择“拒绝”,并为此规则选择适用的用户或组,配置完成后,单击“下一步”:

5、然后选择“路径”,然后单击下一步:

6、选择PowerShell程序路径,然后单击“下一步”:

7、为新规则指定名称,然后单击“创建”:

8、如下提示框选择“是”

9、右键选择AppLocker并单击属性,然后在“可执行规则”下,选择“强制规则”,勾选“已配置”。

二)确保ApplicationIdentify服务开启,并设置为开机自启动,如果此服务未正确开启,则AppLockerrule无法正确运行。

三)管理员权限运行命令行窗口,输入GPUPDATE,更新组策略。

四)验证:以上操作完成后,再运行PowerShell将被系统阻止

五)本文以Windows10系统为例进行说明,所述设置方法还适用于如下系统:

注意:使用AppLocker禁用PowerShell的域控部署方法建议咨询管理员或者微软。

Windows7

Windows8

WindowsServer

注意事项

1、AvbTool专杀工具使用注意事项

2)对AvbTool无法清除的情况,请将AvbTool工具文件夹加密压缩后提交案件给RTL,加密密码novirus。

2、DCT专杀工具使用注意事项

3)DCT清除工具可能会清除用户正常使用的PowerShell计划任务。如果用户有正常使用的PowerShell计划任务,建议客户先做备份;

THE END
1.(2022)最高法知民终670号即使从功能性的角度来看,博某方所主张的技术秘密均为ERP系统(企业资源计划系统)和CRM系统(客户关系管理系统)的通用功能,不具有秘密性。博某方未提供证据证明其对所主张的技术秘密采取了保密措施,所主张的技术秘密不具有保密性。博某方所主张技术秘密与高某公司被诉侵权软件并不相同或实质相同。博某方没有证据证明董http://ipc.court.gov.cn/zh-cn/news/view-3786.html
2.苏州科达新注册《科达监视居住业务管理系统软件V1.0》项目的软件著证券之星消息,近日苏州科达(603660)新注册了《科达监视居住业务管理系统软件V1.0》项目的软件著作权。今年以来苏州科达新注册软件著作权29个,较去年同期增加了61.11%。结合公司2024年中报财务数据,今年上半年公司在研发方面投入了2.37亿元,同比减24.11%。 数据来源:企查查 https://www.163.com/dy/article/JJQIRS2U051984TV.html
3.基于电子病历四级的二甲公立云HIS系统源码本系统的医院门诊管理包括: 门诊挂号、门诊收费、门诊退费、门诊日结、门诊医生工作站、门诊护士工作站、药房塔罗牌国家等各种功能,是一套完整的医院门诊管理系统,系统提供了门诊病人信息的查询、门诊科室费用、门诊医生费用、门诊工作量统计等报表查询功能。 https://www.bilibili.com/opus/1010730152665022473
4.城管行政执法办案管理系统本系统以城管执法局内部工作人员的角色(办公室人员、业务窗口人员、执法中队人员、大队长、领导)为出发点,针对每个角色制定不同的功能模块,以解决城管局相关工作人员日常工作的难点,使工作中的案件信息得到及时的流转与审核,使城管工作更加顺利有序地展开。具体功能包括:案件管理、案件审核、部门协作、案件统计、仓库管理http://www.bsdrj.cn/soft10.html
5.ERP系统软件选择哪些下载量高的ERP系统软件排行榜探索企业资源管理的强大工具!本文带你揭示热门的ERP系统软件下载量排行榜,汇集市场上的明星产品。从领先品牌到功能全面性,帮你筛选出最适合企业的高效解决方案。点击阅读,提升数字化运营效率的秘密武器尽在其中。 1.好搭档家电维修管理软件 2.0单机版 好搭档家电维修管理软件是一款功能强大的家电维修管理软件,适用于各类https://app.zol.com.cn/jiqiao/214453.html
6.大势至软件官网》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等,防止各种手段绕过系统监控的情况。 3、产品架构 大势至电脑文件防泄密系统基于单机版和网络版两种架构,单机版安装在一台电脑上;网络版基于C/S架构,分为管理端和客户端,管理员电脑安装管理端,局域网其他电脑安装客户端。 https://www.grabsun.com/news/2022/24447.html
7.学校档案托管工作总结(合集14篇)学校工作总结1、继续完善单机版文档案数据库建设工作 2、设计开发了普光档案管理数据库 3、做好电子文件上传的系统的后台监控 4、做好2个网络版数据库的后台监控和系统使用指导工作 5、作好数据库备份工作 三、加强档案馆内部网络管理工作 1、做好档案楼内网络的维护、管理工作,保证楼内各单位网络的正常运行。 2、认真做好各https://www.dddot.com/zongjie/c4/d38b680d23fc575a0829e139e6683717.html
8.上海市检察院新一代专有云视频应用系统智慧检务解决方案云视频服务高可靠、大容量、高并发、超强网络适应能力的需求带动了云MCU架构的推广和成熟,使得云MCU既具备了传统MCU的功能,又可满足大规模集群化部署,统一管理和运维。 3 建设目标 3.1 项目背景 上海市人民检察院下辖3个分院、3个派驻检察院和21个基层检察院,随着案件增多,在视频应用方面,既有检察系统内部各层级的https://www.faanw.com/zhihuijianwu/500.html
9.网络安全基础知识大全黄河水利职业技术学院隐藏内部信息,使攻击者不能了解系统内的基本情况。 设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。 四、网络安全分析 1.物理安全分析 网络的物理安全是整个网络系统安全的前提。在工程建设中,由于网络系统弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不https://www.yrcti.edu.cn/main/info/1031/1452.htm
10.警钟长鸣!5起互联网泄密被处理典型案件!公司规范互联网上网行为大势至电脑文件防泄密系统安装和操作十分简单快捷,各项功能划分精细齐全,控制精准有效,目前已成功应用百万终端,积累了丰厚的行业经验。系统分为两个版本,即单机版和网络版,单机版逐一管理,网络版有管理端,可以统一管理。 系统功能 系统主要提供了以下核心功能:https://www.grablan.com/news/2022/24316.html
11.森林公安案件管理信息系统简介办案系统2014版下载QQ群,群号:246379065 ,在群共享文件里下载,欢迎您加入下载试用 林政-立案登记表,进行电子签名后的效果 询问笔录制作 森林公安案件管理系统主界面 森林公安案件管理系统-操作手册 林业行政处罚决定书 功能强大的模板管理 刑事现场勘验平面示意图的绘制 https://www.douban.com/note/363715030/
12.《这是警察》全案件全系统图文教程管理好你的手下第3页:管理好你的手下 第4页:管理好你的手下(2) 第5页:案件的类型 第6页:案件的类型(2) 第7页:委托事件 第8页:剿灭小帮派 第9页:第4天:贫民窟谋杀案 第10页:第5天:市中心抢劫案 第11页:第9天:窝脏(红色面具帮) 第12页:第9天:剧院的最后一张照片 https://gl.ali213.net/html/2016-8/133541_3.html
13.华为数据库Gauss深度解析GaussDB 200 在核心技术上跟传统数据库相比有巨大优势,可以解决很多行业用户的数 据处理性能问题,可以为超大规模数据管理提供高性价比的通用计算平台,并可用于支撑 各类数据仓库系统、BI(Business Intelligence)系统和决策支持系统,统一为上层应用 的决策分析等提供服务。 https://maimai.cn/article/detail?fid=1449200413&efid=ZekQaAZmVOZz_RF_ot868A
14.公安工作管理系统相关公安工作管理系统大全公安工作管理系统app是款专为公安信息人员打造地方公安信息管理平台,提供简单清晰的报表展示、导航展示等等功能,大大便捷了相关人员的工作,欢迎感兴趣的朋友来IT猫扑网下载体验官方简介本应用为手机单机运行版本。我们还可以提供电脑单机版和网络版,网络版可以[ 查看详细 ] https://www.itmop.com/tags_%B9%AB%B0%B2%B9%A4%D7%F7%B9%DC%C0%ED%CF%B5%CD%B3.html
15.网络安全自查报告(通用18篇)1.政府信息系统:查看南宁市电子政务内网统一工作平台、南宁市政府信息报送系统、政民互动综合服务平台、网上信访、南宁市政务信息网站、市委机要网、档案管理系统。 2.安全规章制度和安全设备:检查管理制度是否健全;信息系统安全防护设施的状况、防入侵和防病毒条件、人员访问情况;是否与互联网物理隔离;计算机密码和密码的https://www.yjbys.com/zichabaogao/4155330.html
16.网络清查整治自查报告(通用22篇)我院严格按照公安部对网络与信息系统安全检查工作的要求,积极加强组织领导,落实工作责任,完善各项信息系统安全制度,强化日常监督检查,全面落实信息系统安全防范工作。今年着重抓了以下排查工作:一是硬件安全,包括防雷、防火和电源连接等;二是网络安全,包括网络结构、互联网行为管理等;三是应用安全,公文传输系统、软件管理等https://www.unjs.com/fanwenku/380227.html
17.公安人员信息管理工作系统←公安系列←产品中心←宏达管理软件提高所用单位治安管理等级化水平。 七、 二次开发功能,可能你单位的表格和系统的不一样,也可能你单位一些特殊要求,系统给予强大的二次开发功能,你可以在系统的基础上进行修改和补充,真正实现贴身定做。我公司有专业的技术人员给予你具体的指导。 八、 支持网络应用: 本系统可作为单机版使用,建立以派出所为单位的http://www.inmis.com/product_view.asp?id=502
18.安徽省教育招生考试院关于印发2020年安徽省初中学业水平信息技术2.在考点的入口处应悬挂(或张贴)写有考试名称的横幅,并张贴:(1)《考场分布图》;(2)《考生须知》(见附件2);(3)《监考员职责》(见附件3);(4)《系统管理员职责》(见附件4);(5)《国家教育考试违规处理办法》(见附件5)等有关内容。同时应公布举报电话,设置举报箱。 https://www.ahzsks.cn/zhaokao/4261.htm