亲历WannaCry变种病毒

无意中发现电脑中了WannaCry的变种病毒，具体现象为cmd命令行netstat -an |find ":445" 有大量从本机外连其他机器445端口的TCP连接。WannaCry之前的版本会释放勒索程序对主机进行勒索，但变种中该程序在主流Windows平台下运行失败，无法进行勒索操作。但如果内网中多个主机感染了该病毒，病毒会互相之间进行永恒之蓝漏洞***，该漏洞的利用使用了堆喷射技术，该技术漏洞利用并不稳定，有小概率出现漏洞利用失败，在未打补丁利用失败的情况，会造成被***主机蓝屏的现象。

处理步骤：

一、安装MS17-010补丁。补丁下载地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

二、使用深信服WannaCry专杀工具进行杀毒。

如上2步完成后本以为万事大吉，可是观察发现仍然有大量从本机发往同一网段其他机器445端口TCP连接出现。如此可见病毒并未完全被清除，认真想想虽然我们安装了补丁仅仅是起到了不被再次感染的作用。所以我再次打开“任务管理器”又发现几个可疑进程直接强制结束，发现根本杀不掉。之后又找到进程文件所在目录直接强制删除发现也不管用，因为该文件被进程正在调用中。。。沉思片刻之后果断安装360杀毒进行扫描查杀最后搞定。不得不承认360很牛币啊。哈哈XD.

被360查杀的遗留病毒目录和文件：

C:\Windows\SecureBootThemes\

C:\Windows\System32\SecureBootThemes\spoolsv.exe

C:\Windows\System32\TrustedHostServices.exe

C:\Windows\System32\tpmagentservice.dll

参考文章：

http://sec.sangfor.com.cn/events/97.html

http://www.freebuf.com/news/139809.html