Công nghệ thông tin Công nghệ thông tin

Hướng dẫn kiểm tra và xóa bỏ mã độc Bitcoin Miner (biến thể của Ransomware)

Hướng dẫn kiểm tra và xóa bỏ mã độc Bitcoin Miner

Trước khi xử lý ta cập nhật bản vá lỗi MS 17-010 cho máy tính.

Link dow bản vá: https://support.microsoft.com/vi-vn/help/4023262/how-to-verify-that-ms17-010-is-installed

Sau khi cập nhật bản vá ta  khởi động lại máy và thực hiện theo các bước sau để làm sạch

Bước 1: stop services độc:

Trong services.msc tìm đến services Trusted Platfom Module (TPM) Agent service rồi stop services đấy.

Bước 2: Tìm các thư mục chứa mã độc:

Tìm các thư mục sau:

  • C:\Windows\Systemfiles: Nếu có thư mục này thì máy đã nhiễm mã độc.
  • C:\Window\privoxy: Nếu có thư mục này thì máy đã nhiễm mã độc.
  • C:\Window\debug\dll: Nếu có thư mục này thì máy đã nhiễm mã độc.
  • C:\Windows\Help\OEM\: Nếu trong này có xuất hiện các file:
    • Services.exe
    • Spoolsv.exe
    • Nếu có các file này thì máy đã nhiễm mã độc.
  • C:\Windows\SecureBootThemes: Nếu có thư mục này thì máy đã nhiễm mã độc.
  • C:\Windows\System32\SecureBootThemes: Nếu có thư mục này thì máy đã nhiễm mã độc.
  • C:\Windows\SoftwareDistribution\xmr: Nếu có thư mục này thì máy đã nhiễm mã độc.

Kiểm tra các file sau trong thư mục: C:\Windows\System32 và C:\Windows\Syswow64:

  • PsExec.exe
  • TrustedHostService.exe
  • Nếu có các file này, thì máy đó đã bị nhiễm mã độc.

Bước 3: Kiểm tra mã độc đang chạy sử dụng Process Explorer trên các máy bị nhiễm mã độc

(link download: https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer)

  • Chạy file ProcessXP với quyền Admin, kiểm tra trong khung tiến trình bên trái (liệt kê theo dạng cây). Tìm các tiến trình có tên sau:
    • svchost.exe
    • services.exe
    • spoolsv.exe
    • dlls.exe
  • Với các tiến trình vừa tìm được, kiểm tra ở khung bên cạnh (Khung thông tin về tiến trình) có 2 cột: Verified và Path. Nếu là mã độc, ở cột Verified Signer sẽ ghi "(No Signature was … )" và trong cột Path sẽ ghi đường dẫn trỏ đến các file nằm trong thư mục đã liệt kê ở bước 2.

Bước 4: Kill tiến trình độc:

Nếu không phát hiện được tiến trình độc nào đang chạy thì bỏ qua bước này.

Sau khi xác định được tiến trình độc, thực hiện kill các tiến trình độc bằng cách:

  • Trong ProcessXP, bấm chuột phải vào tên tiến trình đang chạy, chọn Kill Process Tree
  • Đợi 5s để đảm bảo mã độc đã bị kill và không hoạt động trở lại.
  • Thực hiện việc kill này với tất cả các tiến trình độc được tìm thấy.
  • Có trường hợp đặc biệt khi tiến trình độc chạy dưới services chuẩn hoặc svchost chuẩn, thì tiến trình sẽ vẫn hoạt động sau khi kill. Ở đây, các tiến trình độc được gọi từ các tiến trình chuẩn là services.exe hoặc svchost.exe (cột Verified Signer có chữ ký chuẩn). Trong trường hợp này, cần:
  • Chọn tiến trình chuẩn chữ ký là services.exe hoặc svchost đã gọi lên tiến trình độc (spoolsv.exe hoặc TrustedHostService.exe).
  • Chuột phải chọn Kill Process Tree.
  • Đợi 10s và kiểm tra để đảm bảo tiến trình độc không hoạt động trở lại.

     Bước 5: Xóa file độc

      Thực hiện xóa tất cả các file/ thư mục đã được tìm thấy tại Bước 2

Sau khi làm sạch ta khởi động lại máy lần nữa và kiểm tra xem mã độc còn nhiễm lại không. Nếu có thực hiện kiểm tra lại các bước trên. link file hướng dẫn


Văn bản mới Văn bản mới

  • 06/2018/QĐ-UBND (02.02.2018)
    Quyết định Ban hành quy định quản lý và phát triển cơ sở hạ tầng viễn...
  • 31/2017/TT-BTTTT (15.11.2017)
    QUY ĐỊNH HOẠT ĐỘNG GIÁM SÁT AN TOÀN HỆ THỐNG THÔNG TIN
  • 19/2017/TT-BTTTT (12.09.2017)
    Thông tư Quy định công tác bảo vệ bí mật nhà nước trong ngành...
  • 20/2017/TT-BTTTT (12.09.2017)
    Quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng...
  • 1421/QĐ-BTTTT (31.08.2017)
    Ban hành Danh mục văn bản quy phạm pháp luật hết hiệu lực toàn bộ...

Video Tư liệu Video Tư liệu

Thống Kê Truy Cập Thống Kê Truy Cập

Tổng số lượt truy cập: 1532285
Số người đang truy cập: 7

Dịch vụ công trực tuyến Sở TT&TT

 

Mail công vụ 

Chung tay cải cách Thủ tục hành chính

 

Thống kê - Tra cứu Giải quyết hồ sơ

Hỏi đáp trực tuyến

 

Số hóa truyền dẫn phát sóng truyền hình mặt đất

Thông tin Dự án Đấu thầu - Mua sắm công

 

Kế hoạch - Quy hoạch - Phát tiển

Phổ biến pháp luật