文档章节

Petya勒索病毒疫苗出现,分分钟让电脑对病毒免疫

阿里安全
 阿里安全
发布于 2017/06/29 13:13
字数 865
阅读 694
收藏 7

精选30+云产品,助力企业轻松上云!>>>

继wannacry之后,Petya勒索软件攻击再次席卷全球,对欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场造成了不同程度的影响。

 

研究发现,Petya 会锁定磁盘的 MFT 和 MBR 区,导致计算机无法启动。除非受害者支付赎金解锁,否则无法恢复他们的系统。但在此前的wannacry勒索软件事件发生的时候,阿里聚安全就建议大家不要支付赎金,一方面支付赎金后不一定能找回数据,其次这些赎金会进一步刺激攻击者挖掘漏洞,并升级攻击手段。

 

好消息是Cybereason安全研究员Amit Serper已经找到了一种方法来防止Petya (notpetya / sortapetya / petna)勒索软件来感染电脑,这种方法简直一劳永逸!

 

研究员蜂拥寻找killswitch机制

在Petya 爆发的第一时间,国内外安全研究人员们蜂拥而上对其进行分析,一开始他们认为Petya无非是新瓶装旧酒,和其他勒索软件相似。但在进一步研究过程中,他们发现这是一种全新的勒索蠕虫病毒。因此它的名字从Petya逐渐变为Notpetya,Petna,以及SortaPetya。

 

研究员分析勒索软件的运作机制后,发现NotPetya会搜索本地文件,如果文件已经在磁盘上存在,那么勒索软件就会退出加密。这意味着,受害者只需要在自己电脑上创建这个文件,并将其设置为只读,就可以成功封锁Notpetya勒索软件的执行。

 

这种方法不能阻止勒索病毒的运行,因为它就像注射疫苗让设备免疫病毒攻击,而不是杀死病毒。它可以让受害者一劳永逸,不再受到勒索软件的感染。

 

这一发现就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究机构的证实。

 

如何注射Notpetya//Petna/Petya疫苗

批量创建方法,适用于运维管理

在C盘的Windows文件夹下创建一个perfc文件,并设置为只读。对于那些想要快速创建文件的人,Lawrence Abrams演示了批量创建文件的步骤。请注意,批量创建文件的同时还需要创建perfc.dat和perfc.dll两个文件。

 

批量文件处理工具下载地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat

 

手动创建方法,适用于个人

1、首先,在 Windows 资源管理器中去除“隐藏已知文件类型的扩展名”的勾选(文件夹选项 -> 查看 ->隐藏已知文件类型的扩展名)

 

 

2、打开 C:Windows文件夹,选中记事本(notepad.exe)程序,复制并粘贴它的副本。粘贴文件时,可能需要赋予管理员权限。

 

 

3、将 notepad(副本).exe重命名为perfc,记得扩展名也去掉。

 

 

4、右键选中该文件,点击属性,在弹出的文件属性对话框中,将其设置为“只读”

 

 

创建好文件后,建议同时创建在C盘的Windows文件夹下创建perfc.dat和perfc.dll。

 

此方法来源于bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

 

---------------------------------------------

阿里聚安全编译,更多安全类热点及知识分享,请关注阿里聚安全的官方博客

 

阿里安全
粉丝 29
博文 89
码字总数 191047
作品 0
杭州
私信 提问
加载中
请先登录后再评论。
Petya勒索病毒全球爆发,企业和个人如何防御?(含疫苗接种方法)

图片:卡巴斯基 与Wannacry勒索病毒技术部分同源(基于NSA的永恒之蓝漏洞)的Petya勒索病毒变种(PetyaWrap,又称Petrwrap)本周二在全球爆发,英国(WPP)、乌克兰、波兰、意大利、丹麦(M...

王萌
2017/06/28
0
0
技术分析 | 新型勒索病毒Petya如何对你的文件进行加密

6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。 媒体报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。 阿里云安全团队第一时间拿到...

阿里安全
2017/06/28
0
0
【IT三人行】Wanna Cry勒索事件引发的反思 访谈实录

背景: 2017.5.12晚间20点左右,全球范围内爆发大规模勒索软件感染事件,近百个国家遭受网络攻击。 话说只有两种公司:1、被入侵的公司2、不知道自己被入侵的公司 你的企业真的够安全吗? 接...

玄学酱
2018/03/29
0
0
新勒索病毒 Petya 席卷欧洲 传播方式与 WannaCry 类似

一种类似于“WannaCry”的新勒索病毒席卷了欧洲,导致俄乌两国80多家公司遭殃。据了解,这种病毒锁住了大量的电脑,要求用户支付300美元的加密数字货币才能解锁。 6月27日,周二,一种类似于...

局长
2017/06/28
1.4K
15
勒索病毒攻击再次爆发 国内校园网大面积感染

5月12日,英国、意大利、俄罗斯等多个国家爆发勒索病毒攻击,国内校园网也出现大面积感染。 这并不是勒索病毒首次发威。近几年来,勒索病毒已经多次出现爆发的情况。黑客利用Windows漏洞传播...

bhzhu203
2017/05/13
5.9K
60

没有更多内容

加载失败,请刷新页面

加载更多

O2OA开源免费开发平台:启用Eruda进行移动端调试

O2OA平台启用Eruda进行移动端调试 Eruda 是一个专为前端移动端、移动端设计的调试面板,类似Chrome DevTools 的迷你版(没有chrome强大 这个是可以肯定的),其主要功能包括:捕获 console ...

O2OA企业信息化平台
48分钟前
18
0
将敏感数据移动到云平台更安全

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 公共云在一段时间内一直是存储关键任务和敏感数据的安全场所,但要使大多数企业超过...

osc_oq0m8kxk
48分钟前
0
0
服务器被挂码-门罗币挖矿程序

照例巡视服务器,查看cpu,内存,硬盘,系统日志。 GameServer的机器,cpu 和 内存 使用上有点不对,进程数有点多了, 但是cpu和内存却很平稳,没有波动! 另外系统日志中出现了之前没有见过...

DEPAKIN
50分钟前
0
0
机器人守护人类生命线,六大趋势凸显前景无限

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 近段时间以来,梅雨季的到来让我国不少城市进入汛期,大部分南方城市更是面临严重暴...

osc_bwwgdzfr
50分钟前
19
0
IP-guard与Ping32基本功能对比

企业中因终端管理需求会采购终端管理软件,用来管控员工终端,通过管理软件查看一些终端信息,并进行相应的控制操作。IP-guard和Ping32是市面上比较好用的终端安全管理软件,两款软件都可以满...

osc_1b9czlr5
51分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部