取证分析Wannacry样本取证特征与清除
Posted 17bdw随手笔记
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了取证分析Wannacry样本取证特征与清除相关的知识,希望对你有一定的参考价值。
一、取证特征
1)网络域名特征
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
2)文件特征
母体文件
mssecsvc.exe
c:\\WINDOWS\\tasksche.exe
c:\\WINDOWS\\qeriuwjhrf
3)系统现象
CPU占用率100%
4)系统补丁号
Windows XP SP3 KB4012598
Windows XP x64 SP2 KB4012598
Windows 2003 SP2 KB4012598
Windows 2003 x64 SP2 KB4012598
Windows Vista Windows Server 2008 KB4012598
Windows 7 KB4012212
Windows Server 2008 R2 KB4012215
Windows 8.1 KB4012213
Windows 8.1 KB4012216
Windows Server2012 KB4012214
Windows Server2012 KB4012217
Windows Server2012 R2 KB4012213
Windows Server2012 R2 KB4012216
Windows 10 KB4012606
Windows 10 1511 KB4013198
Windows 10 1607 KB4013429
二、已感染病毒主机处置
1)感染主机处置
针对已感染WannaCry病毒的主机,首先进行断网隔离,判断加密文件的重要性,决定是否格式化磁盘重装系统,还是保持断网状态等待进一步解密进展。
如果内网存在主机无法访问外部网络的情况,需要迅速在内网中添加DNS解析,将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某台内网中可以访问的主机上,确保内网主机可以访问该域名,阻断蠕虫的进一步传播。
2)病毒清除
在被感染主机上,需要对蠕虫进行清除:
1. 关闭进程:
关闭tasksche.exe进程:
不完全执行的状态下,还可能有mssecsvc.exe,即最初启动的那个进程,在后续完全执行的状态下,还可能有其他tor等的进程。
2.删除相关服务:
(1)删除服务mssecsvc2.0,服务路径:
C:/WINDOWS/tasksche.exe或者C:/WINDOWS/mssecsvc.bin -m security
(2)删除hnjrymny834(该服务名可能随机)服务:
查找对应的路径,在其路径名下删除可执行文件。
3.清除注册表项:
在注册表中,删除以下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 “C:\ProgramData\hnjrymny834\tasksche.exe”
或者
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834
4.删除病毒文件:
病毒运行后,释放的文件目录存在于
C:\ProgramData\hnjrymny834
C:\Users\All Users\hnjrymny834
病毒的可执行文件主要有以下文件
C:\WINDOWS\tasksche.exe
C:\ProgramData\hnjrymny834\tasksche.exe
C:\Users\All Users\hnjrymny834\tasksche.exe
其他病毒相关文件还存在于
文件夹 PATH 列表:
C:.
│ 00000000.eky
│ 00000000.pky
│ 00000000.res
│ @[email protected]
│ @[email protected]
│ @[email protected]
│ b.wnry
│ c.wnry
│ f.wnry
│ out.txt
│ r.wnry
│ s.wnry
│ t.wnry
│ taskdl.exe
│ taskse.exe
│ u.wnry
│
├─msg
│ m_bulgarian.wnry
│ m_chinese (simplified).wnry
│ m_chinese (traditional).wnry
│ m_croatian.wnry
│ m_czech.wnry
│ m_danish.wnry
│ m_dutch.wnry
│ m_english.wnry
│ m_filipino.wnry
│ m_finnish.wnry
│ m_french.wnry
│ m_german.wnry
│ m_greek.wnry
│ m_indonesian.wnry
│ m_italian.wnry
│ m_japanese.wnry
│ m_korean.wnry
│ m_latvian.wnry
│ m_norwegian.wnry
│ m_polish.wnry
│ m_portuguese.wnry
│ m_romanian.wnry
│ m_russian.wnry
│ m_slovak.wnry
│ m_spanish.wnry
│ m_swedish.wnry
│ m_turkish.wnry
│ m_vietnamese.wnry
│
└─TaskData
├─Data
│ └─Tor
└─Tor
libeay32.dll
libevent-2-0-5.dll
libevent_core-2-0-5.dll
libevent_extra-2-0-5.dll
libgcc_s_sjlj-1.dll
libssp-0.dll
ssleay32.dll
taskhsvc.exe
tor.exe
zlib1.dll
三、参考
http://www.rising.com.cn/2017/eb/
http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/
以上是关于取证分析Wannacry样本取证特征与清除的主要内容,如果未能解决你的问题,请参考以下文章