国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

一、取證特征

1）網(wǎng)絡(luò)域名特征

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

2）文件特征

母體文件

mssecsvc.exe   c:\\WINDOWS\\tasksche.exec:\\WINDOWS\\qeriuwjhrf

3）系統(tǒng)現(xiàn)象

CPU占用率100%

4）系統(tǒng)補(bǔ)丁號(hào)

Windows XP SP3　　　　KB4012598Windows XP x64 SP2　　　　KB4012598Windows 2003 SP2　　　　KB4012598Windows 2003 x64 SP2　　　　KB4012598Windows Vista Windows Server 2008　　　　KB4012598Windows 7　　　　KB4012212Windows Server 2008 R2　　　　KB4012215Windows 8.1　　　　KB4012213Windows 8.1　　　　KB4012216Windows Server2012　　　　KB4012214Windows Server2012　　　　KB4012217Windows Server2012 R2　　　　KB4012213Windows Server2012 R2　　　　KB4012216Windows 10　　　　KB4012606Windows 10 1511　　　　KB4013198Windows 10 1607　　　　KB4013429

二、已感染病毒主機(jī)處置

1）感染主機(jī)處置

針對(duì)已感染W(wǎng)annaCry病毒的主機(jī)，首先進(jìn)行斷網(wǎng)隔離，判斷加密文件的重要性，決定是否格式化磁盤重裝系統(tǒng)，還是保持?jǐn)嗑W(wǎng)狀態(tài)等待進(jìn)一步解密進(jìn)展。

如果內(nèi)網(wǎng)存在主機(jī)無法訪問外部網(wǎng)絡(luò)的情況，需要迅速在內(nèi)網(wǎng)中添加DNS解析，將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某臺(tái)內(nèi)網(wǎng)中可以訪問的主機(jī)上，確保內(nèi)網(wǎng)主機(jī)可以訪問該域名，阻斷蠕蟲的進(jìn)一步傳播。

2）病毒清除

在被感染主機(jī)上，需要對(duì)蠕蟲進(jìn)行清除：

1. 關(guān)閉進(jìn)程：

關(guān)閉tasksche.exe進(jìn)程：

不完全執(zhí)行的狀態(tài)下，還可能有mssecsvc.exe，即最初啟動(dòng)的那個(gè)進(jìn)程，在后續(xù)完全執(zhí)行的狀態(tài)下，還可能有其他tor等的進(jìn)程。

2.刪除相關(guān)服務(wù)：

（1）刪除服務(wù)mssecsvc2.0，服務(wù)路徑：

C:/WINDOWS/tasksche.exe或者C:/WINDOWS/mssecsvc.bin -m security

（2）刪除hnjrymny834（該服務(wù)名可能隨機(jī)）服務(wù)：

查找對(duì)應(yīng)的路徑，在其路徑名下刪除可執(zhí)行文件。

3.清除注冊(cè)表項(xiàng)：

在注冊(cè)表中，刪除以下鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 “C:\ProgramData\hnjrymny834\tasksche.exe”

或者

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834

4.刪除病毒文件：

病毒運(yùn)行后，釋放的文件目錄存在于

C:\ProgramData\hnjrymny834C:\Users\All Users\hnjrymny834

病毒的可執(zhí)行文件主要有以下文件

C:\WINDOWS\tasksche.exeC:\ProgramData\hnjrymny834\tasksche.exeC:\Users\All Users\hnjrymny834\tasksche.exe

其他病毒相關(guān)文件還存在于

文件夾 PATH 列表：C:.│  00000000.eky│  00000000.pky│  00000000.res│  @Please_Read_Me@.txt│  @WanaDecryptor@.exe│  @WanaDecryptor@.exe.lnk│  b.wnry│  c.wnry│  f.wnry│  out.txt│  r.wnry│  s.wnry│  t.wnry│  taskdl.exe│  taskse.exe│  u.wnry│  ├─msg│      m_bulgarian.wnry│      m_chinese (simplified).wnry│      m_chinese (traditional).wnry│      m_croatian.wnry│      m_czech.wnry│      m_danish.wnry│      m_dutch.wnry│      m_english.wnry│      m_filipino.wnry│      m_finnish.wnry│      m_french.wnry│      m_german.wnry│      m_greek.wnry│      m_indonesian.wnry│      m_italian.wnry│      m_japanese.wnry│      m_korean.wnry│      m_latvian.wnry│      m_norwegian.wnry│      m_polish.wnry│      m_portuguese.wnry│      m_romanian.wnry│      m_russian.wnry│      m_slovak.wnry│      m_spanish.wnry│      m_swedish.wnry│      m_turkish.wnry│      m_vietnamese.wnry│      └─TaskData    ├─Data    │  └─Tor    └─Tor            libeay32.dll            libevent-2-0-5.dll            libevent_core-2-0-5.dll            libevent_extra-2-0-5.dll            libgcc_s_sjlj-1.dll            libssp-0.dll            ssleay32.dll            taskhsvc.exe            tor.exe            zlib1.dll

三、參考

http://www.rising.com.cn/2017/eb/
http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/