2017-04-13

Как избавиться от вируса EIMG001.exe и NsCpuCNMiner32.exe в большой сети

Если в вашей большой корпоративной сети обнаружилась движуха с сабжевым вирусом, который расползся по компам, проще всего заблокировать его запуск через GPO - это позволит прекратить или как минимум ограничить его распространение.

Для этого нужно иметь под рукой файлы вируса (большой самораспаковывающийся архив EIMG001.exe и файлы самого майнера, которые можно достать из него:  NsCpuCNMiner32.exe и NsCpuCNMiner64.exe). Политика запрета будет выглядеть примерно так (кликабельно):



Указаны два варианта: через Software Restriction Policies, или Application Control Policies - оба в целом равноценны. В обоих случаях файлы можно добавлять по имени или по хэшу, предпочтителен второй вариант на случай попыток вируса переименовать исполняемые файлы.

4 комментария:

  1. Так а далее что делать?
    Ну не запускается он на ПК, но создается на ПК на которых открыты шары... Кто-то же его создает :)

    ОтветитьУдалить
    Ответы
    1. Дальше последовательно и планомерно ставить апдейты от wannacry на все-все-все компы. Судя по тому что я вижу - майнер расползается схожим образом.

      Апдейты:
      - KB4012598 для win2003 и 2008;
      - kb4012212 или куммулятив kb4012215 - 2008r2.

      Для клиентов старше семерки вроде бы для всех KB4012598, если вдруг XP то фиг знает налезет ли на нее апдейт от 2003го, но скорее всего нет.

      Удалить
  2. От WannaCry
    https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
    Updates
    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

    ОтветитьУдалить
    Ответы
    1. О, спасибо за линк - я сам скачал и уже потерял откуда ))
      Вообще лучше эти патчи через wsus ставить - централизация и всё такое - и в этом случае можно конкретные патчи проимпортировать с сайта мс. Как раз из каталога. Потому что XP например уже снята с поддержки и всус апдейты для нее уже автоматом не накачивает. Но проимпортировать дает )

      Удалить