文档章节

Petya勒索病毒疫苗出现,分分钟让电脑对病毒免疫

阿里聚安全
 阿里聚安全
发布于 2017/06/29 13:13
字数 865
阅读 564
收藏 7

继wannacry之后,Petya勒索软件攻击再次席卷全球,对欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场造成了不同程度的影响。

 

研究发现,Petya 会锁定磁盘的 MFT 和 MBR 区,导致计算机无法启动。除非受害者支付赎金解锁,否则无法恢复他们的系统。但在此前的wannacry勒索软件事件发生的时候,阿里聚安全就建议大家不要支付赎金,一方面支付赎金后不一定能找回数据,其次这些赎金会进一步刺激攻击者挖掘漏洞,并升级攻击手段。

 

好消息是Cybereason安全研究员Amit Serper已经找到了一种方法来防止Petya (notpetya / sortapetya / petna)勒索软件来感染电脑,这种方法简直一劳永逸!

 

研究员蜂拥寻找killswitch机制

在Petya 爆发的第一时间,国内外安全研究人员们蜂拥而上对其进行分析,一开始他们认为Petya无非是新瓶装旧酒,和其他勒索软件相似。但在进一步研究过程中,他们发现这是一种全新的勒索蠕虫病毒。因此它的名字从Petya逐渐变为Notpetya,Petna,以及SortaPetya。

 

研究员分析勒索软件的运作机制后,发现NotPetya会搜索本地文件,如果文件已经在磁盘上存在,那么勒索软件就会退出加密。这意味着,受害者只需要在自己电脑上创建这个文件,并将其设置为只读,就可以成功封锁Notpetya勒索软件的执行。

 

这种方法不能阻止勒索病毒的运行,因为它就像注射疫苗让设备免疫病毒攻击,而不是杀死病毒。它可以让受害者一劳永逸,不再受到勒索软件的感染。

 

这一发现就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究机构的证实。

 

如何注射Notpetya//Petna/Petya疫苗

批量创建方法,适用于运维管理

在C盘的Windows文件夹下创建一个perfc文件,并设置为只读。对于那些想要快速创建文件的人,Lawrence Abrams演示了批量创建文件的步骤。请注意,批量创建文件的同时还需要创建perfc.dat和perfc.dll两个文件。

 

批量文件处理工具下载地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat

 

手动创建方法,适用于个人

1、首先,在 Windows 资源管理器中去除“隐藏已知文件类型的扩展名”的勾选(文件夹选项 -> 查看 ->隐藏已知文件类型的扩展名)

 

 

2、打开 C:Windows文件夹,选中记事本(notepad.exe)程序,复制并粘贴它的副本。粘贴文件时,可能需要赋予管理员权限。

 

 

3、将 notepad(副本).exe重命名为perfc,记得扩展名也去掉。

 

 

4、右键选中该文件,点击属性,在弹出的文件属性对话框中,将其设置为“只读”

 

 

创建好文件后,建议同时创建在C盘的Windows文件夹下创建perfc.dat和perfc.dll。

 

此方法来源于bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

 

---------------------------------------------

阿里聚安全编译,更多安全类热点及知识分享,请关注阿里聚安全的官方博客

 

© 著作权归作者所有

共有 人打赏支持
阿里聚安全
粉丝 27
博文 89
码字总数 191047
作品 0
杭州
【IT三人行】Wanna Cry勒索事件引发的反思 访谈实录

背景: 2017.5.12晚间20点左右,全球范围内爆发大规模勒索软件感染事件,近百个国家遭受网络攻击。 话说只有两种公司:1、被入侵的公司2、不知道自己被入侵的公司 你的企业真的够安全吗? 接...

玄学酱
03/29
0
0
勒索病毒攻击再次爆发 国内校园网大面积感染

5月12日,英国、意大利、俄罗斯等多个国家爆发勒索病毒攻击,国内校园网也出现大面积感染。 这并不是勒索病毒首次发威。近几年来,勒索病毒已经多次出现爆发的情况。黑客利用Windows漏洞传播...

bhzhu203
2017/05/13
5.2K
60
比特币“病毒”刚走,新电脑病毒欧洲多国传播

新超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延。有机场、银行及大型企业被报告感染病毒。这类病毒与之前的比特币病毒相似。 在五月份有一场勒索病毒,这病毒在全...

qq595361f300e9a
06/28
0
0
一分钟应对勒索病毒WannaCry

一、WannaCry 勒索病毒 勒索病毒WannaCry肆虐全球,利用Windows操作系统漏洞,因链式反应迅猛自动传播,校园电脑、个人电脑、政府机关都是重灾区。中毒电脑所有文档被加密,将被勒索高达300...

张果
2017/05/14
0
0

没有更多内容

加载失败,请刷新页面

加载更多

70.shell的函数 数组 告警系统需求分析

20.16/20.17 shell中的函数 20.18 shell中的数组 20.19 告警系统需求分析 20.16/20.17 shell中的函数: ~1. 函数就是把一段代码整理到了一个小单元中,并给这个小单元起一个名字,当用到这段...

王鑫linux
今天
2
0
分布式框架spring-session实现session一致性使用问题

前言:项目中使用到spring-session来缓存用户信息,保证服务之间session一致性,但是获取session信息为什么不能再服务层获取? 一、spring-session实现session一致性方式 用户每一次请求都会...

WALK_MAN
今天
6
0
C++ yield()与sleep_for()

C++11 标准库提供了yield()和sleep_for()两个方法。 (1)std::this_thread::yield(): 线程调用该方法时,主动让出CPU,并且不参与CPU的本次调度,从而让其他线程有机会运行。在后续的调度周...

yepanl
今天
4
0
Java并发编程实战(chapter_3)(线程池ThreadPoolExecutor源码分析)

这个系列一直没再写,很多原因,中间经历了换工作,熟悉项目,熟悉新团队等等一系列的事情。并发课题对于Java来说是一个又重要又难的一大块,除非气定神闲、精力满满,否则我本身是不敢随便写...

心中的理想乡
今天
40
0
shell学习之获取用户的输入命令read

在运行脚本的时候,命令行参数是可以传入参数,还有就是在脚本运行过程中需要用户输入参数,比如你想要在脚本运行时问个问题,并等待运行脚本的人来回答。bash shell为此提 供了read命令。 ...

woshixin
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部