Wannacry樣本取證特徵與清除

2022-01-24 05:34:08 字數 3421 閱讀 6839

母體檔案

mssecsvc.exe   


c:\\windows\\tasksche.exe


c:\\windows\\qeriuwjhrf
cpu佔用率100%

windows xp sp3    kb4012598


windows xp x64 sp2    kb4012598


windows 2003 sp2    kb4012598


windows 2003 x64 sp2    kb4012598


windows vista windows server 2008    kb4012598


windows 7    kb4012212


windows server 2008 r2    kb4012215


windows 8.1    kb4012213


windows 8.1    kb4012216


windows server2012    kb4012214


windows server2012    kb4012217


windows server2012 r2    kb4012213


windows server2012 r2    kb4012216


windows 10    kb4012606


windows 10 1511    kb4013198


windows 10 1607    kb4013429
針對已感染wannacry病毒的主機,首先進行斷網隔離,判斷加密檔案的重要性,決定是否格式化磁碟重灌系統,還是保持斷網狀態等待進一步解密進展。

如果內網存在主機無法訪問外部網路的情況,需要迅速在內網中新增dns解析,將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某台內網中可以訪問的主機上,確保內網主機可以訪問該網域名稱,阻斷蠕蟲的進一步傳播。

在被感染主機上,需要對蠕蟲進行清除:

1. 關閉程序:

關閉tasksche.exe程序:

不完全執行的狀態下,還可能有mssecsvc.exe,即最初啟動的那個程序,在後續完全執行的狀態下,還可能有其他tor等的程序。

(1)刪除服務mssecsvc2.0,服務路徑:

c:/windows/tasksche.exe或者c:/windows/mssecsvc.bin -m security

(2)刪除hnjrymny834(該服務名可能隨機)服務:

查詢對應的路徑,在其路徑名下刪除可執行檔案。

3.清除登錄檔項:

在登錄檔中,刪除以下鍵值:

hkey_local_machine\software\microsoft\windows\currentversion\run\hnjrymny834 「c:\programdata\hnjrymny834\tasksche.exe」

或者hkey_current_user\software\microsoft\windows\currentversion\run\hnjrymny834

4.刪除病毒檔案:

病毒執行後,釋放的檔案目錄存在於

c:\programdata\hnjrymny834


c:\users\all users\hnjrymny834
病毒的可執行檔案主要有以下檔案

c:\windows\tasksche.exe


c:\programdata\hnjrymny834\tasksche.exe


c:\users\all users\hnjrymny834\tasksche.exe
其他病毒相關檔案還存在於

資料夾 path 列表:


c:.│  00000000.eky


│  00000000.pky


│  00000000.res


│  @[email protected]


│  @[email protected]


│  @[email protected]


│  b.wnry


│  c.wnry


│  f.wnry


│  out.txt


│  r.wnry


│  s.wnry


│  t.wnry


│  taskdl.exe


│  taskse.exe


│  u.wnry


│  ├─msg


│      m_bulgarian.wnry


│      m_chinese (simplified).wnry


│      m_chinese (traditional).wnry


│      m_croatian.wnry


│      m_czech.wnry


│      m_danish.wnry


│      m_dutch.wnry


│      m_english.wnry


│      m_filipino.wnry


│      m_finnish.wnry


│      m_french.wnry


│      m_german.wnry


│      m_greek.wnry


│      m_indonesian.wnry


│      m_italian.wnry


│      m_japanese.wnry


│      m_korean.wnry


│      m_latvian.wnry


│      m_norwegian.wnry


│      m_polish.wnry


│      m_portuguese.wnry


│      m_romanian.wnry


│      m_russian.wnry


│      m_slovak.wnry


│      m_spanish.wnry


│      m_swedish.wnry


│      m_turkish.wnry


│      m_vietnamese.wnry




└─taskdata


├─data


│  └─tor


└─tor


libeay32.dll


libevent-2-0-5.dll


libevent_core-2-0-5.dll


libevent_extra-2-0-5.dll


libgcc_s_sjlj-1.dll


libssp-0.dll


ssleay32.dll


taskhsvc.exe


tor.exe


zlib1.dll

樣本 特徵工程 樣本與特徵製作

對樣本 特徵的管理,在真實場景中尤其重要。對於生產出來的一條資料,首先對其進行正負類別判斷,轉化成了樣本。樣本裡面的原始字段需要清洗 整合,才能得到特徵。樣本表結構 生產時間,使用者id,文件id,類別 特徵表結構 使用者側特徵和文件側特徵混合存在一張表裡頭 生產時間,使用者id,使用者側特徵名,特...

特徵就是樣本

平時的工作就是提特徵進行模式識別,在看到pca時,有點不明白,就是求特徵空間的方法沒有看明白,後來查相關資料才弄明白,原來特徵就是樣本,這樣模式識別就與概率統計學連線起來了。提取特徵時,一般會把乙個特徵reshape為向量,然後並列排在一起放在矩陣中,這時候,每列是乙個樣本,而每行就是一維,行數就是...

隨機樣本,方便樣本與資源回應樣本

隨機樣本 random sample 是指來自總體的 能夠正確反映總體情況的元素總稱。滿足如下條件 1 被研究的總體要有明確的定義。2 總體的每個個體有乙個已知的概率包含在該樣本中。3 抽樣過程中必須遵循隨機原則。方便樣本 convenient sample 是指研究者出於方便性的原因而選取的 唾手...