挖矿病毒应急思路

1. 遏制

当发现病毒时，首要任务是阻止其进一步扩散，并保留现场证据

• 确认事件：通过告警、资源占用异常（CPU、GPU 飙升）、网络流量异常、可疑进程等现象，确认是挖矿病毒事件
• 隔离受感染主机：
  • 物理隔离：最直接的方式，拔掉网线或断开 Wi-Fi 连接
  • 网络隔离：在交换机或防火墙上，将受感染主机的 IP 或 MAC 地址加入黑名单，或将其移动到隔离的 VLAN 中
• 保留现场：不要急于重启或关机，这会丢失宝贵的内存数据

2. 取证与分析

这是溯源和清除的关键环节

• 内存取证：
  • 使用 Volatility 等工具对受感染主机的内存进行镜像
  • 分析内存镜像，寻找恶意进程、网络连接、注入的 DLL、rootkit 痕迹等
• 系统取证：
  • 进程分析：使用 Process Explorer 或 Process Monitor，查找 CPU 或 GPU 占用率异常的进程。注意那些名字可疑或隐藏在系统目录下的进程
  • 网络分析：使用 Wireshark 或 TCPView，检查是否有异常的网络连接，特别是连接到矿池的 IP 地址或域名
  • 文件分析：查找可疑的文件，如挖矿程序、配置文件、定时任务脚本等。注意文件的时间戳，并寻找隐藏或伪装的文件
  • 启动项与定时任务：检查系统的自启动项（注册表、启动文件夹）和定时任务（schtasks），找出病毒的持久化机制
  • 日志分析：
    • 系统日志：检查是否有异常的登录记录、服务启动失败等
    • 安全日志：查看是否有暴力破解、提权等事件
• 恶意文件分析：
  • 静态分析：使用反汇编工具或在线沙箱（如 VirusTotal），查看恶意文件的哈希值、字符串、行为特征等
  • 动态分析：在隔离环境中运行恶意文件，观察其行为，包括创建或修改哪些文件、连接哪些 IP 地址、如何进行提权等

3. 彻底清除与修复

基于分析结果，制定详细的清除计划

• 清除恶意程序：
  • 根据分析结果，终止恶意进程
  • 删除所有相关的恶意文件、启动项和定时任务
  • 清除注册表中与病毒相关的键值
• 修复漏洞：
  • 如果病毒是通过系统漏洞（如永恒之蓝）传播的，立即打上相应的补丁
  • 关闭不必要的端口和服务
  • 修改弱口令，强制所有用户使用强密码
• 全网扫描：
  • 使用企业级的杀毒软件对全网进行扫描，确保没有其他被感染的主机
  • 对所有主机进行安全基线检查，加固配置