首先,該病毒會通過永恆之藍漏洞、域控PSEXEC、SMB爆破、MSSQL爆破進行傳播,在清除之前,需要先確保打上了MS17-010補丁、域控服務器安全、更換高強度密碼、更換高強度MSSQL密碼。
殺死病毒進程
病毒進程svchost下的一大串可疑進程,包括powershell、cmd以及一個python圖標的進程,在svchost進程上右鍵刪除進程樹,將這些進程都結束掉。
還有一個獨立的隨機名進程也要清除,這是一個遠程執行命令的惡意工具。
還有一大堆調用wscript的cmd進程,通通殺死。
刪除病毒文件
然後來到這些病毒進程對應的文件,首先C:\Windows\Temp,將時間可疑(3月19)的文件全部刪除。
這個目錄下也有病毒文件。
C:\Windows目錄下也是重災區,時間可疑、名字可疑的(隨機名)全部刪除。
清除註冊表、定時任務、服務
刪除Run啓動項下的隨機名可疑鍵。
清除可疑的定時任務,其中包括隨機名文件,以及powershell代碼。
幾個固定的惡意定時任務爲:Ddrivers、DnsScan、WebServers、Bluetoolths、Credentials。
最後,清掉可疑的服務。
隨着該病毒的不斷變種,要刪除的進程、文件以及啓動項這些可能會有點偏差,但萬變不離其宗,隨機名、時間可疑的就殺。