接到一起攻击报告,中毒设备只连内网,并不能上外网,据说该设备有攻击行为发生,随便检查了一下,没发现可疑项,懒得细看,直接上杀毒软件,原来没有装过,直接装上扫描,发现一个c:\windows\tasksche.exe,报为Wannacry勒索病毒,这个被杀毒软件清除掉了,顺便在cmd里运行netstat -ano,还有试图一些连外网IP的连接,按PID在任务管理器的进程表里查了下,也是c:\windows\下的,mssecsvc.exe,转到服务,真有一个服务,刚才查启动项时竟然没有注意到,服务名是Microsoft Security Center(2.0) Service,没有描述,先禁用服务,再删除文件,很奇怪这个文件我装的杀毒软件没有报毒,按说想哭不是新病毒,虽然装的杀毒软件不能连网升级,也应该可以认出来吧。没认出来没关系,继续找,去网上搜索下上面两个文件名,就一些信息,还有一个漏网的qeriuwjhrf,也在windows目录下,直接删了。
处理完三个,按网上说的应该是没了,但不保证不会再被感染,虽然杀毒软件装了,其实对付想哭最好是打补丁,不打补丁也要封端口,可以启用防火墙,设置入站规则,禁止连接本机的445TCP端口,蠕虫病毒就是网内传染的。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/2195.html
