步骤一:识别自身主机是否异常?
被植入挖矿病毒的电脑通常会出现 CPU内存使用率升高、使用卡顿等情况,检查办法如下:
Windows系统检查办法:如下图所示,鼠标放至电脑桌面的中下方并右键点击鼠标-->在弹出的窗口点击启动任务管理器;
在打开的任务管理器窗口选择“性能”页面-->查看CPU使用率是否超过90%(持续超过即为异常主机),需按步骤二进行检查加固。
linux系统检查办法:如下图所示,使用命令“top -c” 查看linux系统主机的CPU使用率是否占用超过100%,(超过即为异常主机),需按步骤二进行检查加固,下图红框处展示的占用率达到了800%。
步骤二:处置与加固建议
Windows系统
1、修改个人电脑的登录密码为强密码,密码需大于8位数,包含字母大小写,数字和符号;
2、下载专业下毒软件进行全盘查杀;
(1)优先推荐下载深信服挖矿病毒巡检工具:
下载链接:https://edr.sangfor.com.cn/#/introduction/mining_virus
(2)高校推荐下载安装火绒安全软件进行全盘扫描查杀病毒,下载链接:https://www.huorong.cn/
3、查杀完毕后可重启个人电脑观察是否恢复正常。
linux系统
1、修改主机系统所有账号(含root账号)的密码为强密码,密码需大于8位数,包含字母大小写,数字和符号;
2、查看占用CPU为100%的进程文件是否为正常,lsof -pid=占用cpu为100%的pid值,确认不正常后,先查杀进程kill -9 占用cpu为100%的pid值,然后清除对应的文件。
3、进程文件清除后,观察cpu使用情况是否恢复正常。
附录1-应急处置建议
一旦发现个人电脑或服务器存在异常情况,需开展以下紧急处置:一是立即断开电脑的网络连接(拔网线或断开WIFI),防止进一步危害;二是参考步骤二的“处置加固建议”检查加固主机并检查确认无相关风险后再恢复网络连接,如按照“处置加固建议”操作后仍未解决异常状况,建议重新安装操作系统。
附录2-日常维护
1、个人电脑和服务器应保障系统密码为强密码(密码需大于8位数,包含字母大小写,数字和符号),并养成定期修改密码的好习惯;
2、个人电脑主动安装防病毒软件对主机进行安全防护,建议下载安装火绒安全软件,下载链接:https://www.huorong.cn/
3、不随意打开陌生发件人发来的邮件链接或邮件附件,谨防被恶意入侵。
4、计算机插入U盘或移动硬盘后,首先应用安全软件全盘查杀病毒。
初审一校丨郑晨溪
复审二校丨滕一平
终审三校丨仲丛久
编 辑 丨陈论