文档章节

Petya勒索病毒疫苗出现,分分钟让电脑对病毒免疫

阿里聚安全
 阿里聚安全
发布于 2017/06/29 13:13
字数 865
阅读 562
收藏 7
点赞 1
评论 0

继wannacry之后,Petya勒索软件攻击再次席卷全球,对欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场造成了不同程度的影响。

 

研究发现,Petya 会锁定磁盘的 MFT 和 MBR 区,导致计算机无法启动。除非受害者支付赎金解锁,否则无法恢复他们的系统。但在此前的wannacry勒索软件事件发生的时候,阿里聚安全就建议大家不要支付赎金,一方面支付赎金后不一定能找回数据,其次这些赎金会进一步刺激攻击者挖掘漏洞,并升级攻击手段。

 

好消息是Cybereason安全研究员Amit Serper已经找到了一种方法来防止Petya (notpetya / sortapetya / petna)勒索软件来感染电脑,这种方法简直一劳永逸!

 

研究员蜂拥寻找killswitch机制

在Petya 爆发的第一时间,国内外安全研究人员们蜂拥而上对其进行分析,一开始他们认为Petya无非是新瓶装旧酒,和其他勒索软件相似。但在进一步研究过程中,他们发现这是一种全新的勒索蠕虫病毒。因此它的名字从Petya逐渐变为Notpetya,Petna,以及SortaPetya。

 

研究员分析勒索软件的运作机制后,发现NotPetya会搜索本地文件,如果文件已经在磁盘上存在,那么勒索软件就会退出加密。这意味着,受害者只需要在自己电脑上创建这个文件,并将其设置为只读,就可以成功封锁Notpetya勒索软件的执行。

 

这种方法不能阻止勒索病毒的运行,因为它就像注射疫苗让设备免疫病毒攻击,而不是杀死病毒。它可以让受害者一劳永逸,不再受到勒索软件的感染。

 

这一发现就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究机构的证实。

 

如何注射Notpetya//Petna/Petya疫苗

批量创建方法,适用于运维管理

在C盘的Windows文件夹下创建一个perfc文件,并设置为只读。对于那些想要快速创建文件的人,Lawrence Abrams演示了批量创建文件的步骤。请注意,批量创建文件的同时还需要创建perfc.dat和perfc.dll两个文件。

 

批量文件处理工具下载地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat

 

手动创建方法,适用于个人

1、首先,在 Windows 资源管理器中去除“隐藏已知文件类型的扩展名”的勾选(文件夹选项 -> 查看 ->隐藏已知文件类型的扩展名)

 

 

2、打开 C:Windows文件夹,选中记事本(notepad.exe)程序,复制并粘贴它的副本。粘贴文件时,可能需要赋予管理员权限。

 

 

3、将 notepad(副本).exe重命名为perfc,记得扩展名也去掉。

 

 

4、右键选中该文件,点击属性,在弹出的文件属性对话框中,将其设置为“只读”

 

 

创建好文件后,建议同时创建在C盘的Windows文件夹下创建perfc.dat和perfc.dll。

 

此方法来源于bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

 

---------------------------------------------

阿里聚安全编译,更多安全类热点及知识分享,请关注阿里聚安全的官方博客

 

© 著作权归作者所有

共有 人打赏支持
阿里聚安全
粉丝 26
博文 89
码字总数 191047
作品 0
杭州
【IT三人行】Wanna Cry勒索事件引发的反思 访谈实录

背景: 2017.5.12晚间20点左右,全球范围内爆发大规模勒索软件感染事件,近百个国家遭受网络攻击。 话说只有两种公司:1、被入侵的公司2、不知道自己被入侵的公司 你的企业真的够安全吗? 接...

玄学酱 ⋅ 03/29 ⋅ 0

勒索病毒攻击再次爆发 国内校园网大面积感染

5月12日,英国、意大利、俄罗斯等多个国家爆发勒索病毒攻击,国内校园网也出现大面积感染。 这并不是勒索病毒首次发威。近几年来,勒索病毒已经多次出现爆发的情况。黑客利用Windows漏洞传播...

bhzhu203 ⋅ 2017/05/13 ⋅ 60

比特币“病毒”刚走,新电脑病毒欧洲多国传播

新超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延。有机场、银行及大型企业被报告感染病毒。这类病毒与之前的比特币病毒相似。 在五月份有一场勒索病毒,这病毒在全...

qq595361f300e9a ⋅ 2017/06/28 ⋅ 0

一分钟应对勒索病毒WannaCry

一、WannaCry 勒索病毒 勒索病毒WannaCry肆虐全球,利用Windows操作系统漏洞,因链式反应迅猛自动传播,校园电脑、个人电脑、政府机关都是重灾区。中毒电脑所有文档被加密,将被勒索高达300...

张果 ⋅ 2017/05/14 ⋅ 0

广东竟成勒索软件攻击最广区域?这份报告还有防勒指南

勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。 从 ...

又田 ⋅ 2017/12/22 ⋅ 0

国家互联网应急中心提出Petya勒索病毒防护建议

据国家互联网应急中心网站消息,针对乌克兰等多国遭遇Petya勒索病毒袭击,国家互联网应急中心提出防护策略五点建议。 一是不要轻易点击不明附件,尤其是rtf、doc等格式文件。 二是内网中存在...

玄学酱 ⋅ 03/26 ⋅ 0

国内勒索病毒疫情严重 每天十多万台电脑被感染

4月10日消息,国内安全团队近日发出安全警报,报告称国内勒索病毒疫情非常严峻,政府、企业和个人用户都在被攻击之列,而系统漏洞是勒索软件攻击的主要入口。 据了解,每天感染用户电脑的勒索...

工作的事 ⋅ 04/11 ⋅ 0

勒索蠕虫爆发 微软破例为 XP 发补丁

5月12日开始,黑客利用NSA武器库的“永恒之蓝”对全球Windows电脑及服务器发起大规模网络勒索攻击,包括英国、意大利、俄罗斯、西班牙等全球近百个国家全部沦陷,国内大批高校及涉及能源、交...

开源资讯 ⋅ 2017/05/14 ⋅ 16

太嚣张!Petya 超强电脑勒索病毒赎金暴涨至 25 万美元

IT之家7月6日消息 此前IT之家报道过在6月底一款一款名为Petya的新型勒索病毒,就像之前的WannaCry那样使用美国国家安全局(NSA)泄露的“永恒之蓝”漏洞,在世界各地传播。后来微软证明,感染...

两味真火 ⋅ 2017/07/06 ⋅ 13

没有更多内容

加载失败,请刷新页面

加载更多

下一页

MySQL 数据库设计总结

规则1:一般情况可以选择MyISAM存储引擎,如果需要事务支持必须使用InnoDB存储引擎。 注意:MyISAM存储引擎 B-tree索引有一个很大的限制:参与一个索引的所有字段的长度之和不能超过1000字节...

OSC_cnhwTY ⋅ 43分钟前 ⋅ 0

多线程(四)

线程池和Exector框架 什么是线程池? 降低资源的消耗 提高响应速度,任务:T1创建线程时间,T2任务执行时间,T3线程销毁时间,线程池没有或者减少T1和T3 提高线程的可管理性。 线程池要做些什...

这很耳东先生 ⋅ 51分钟前 ⋅ 0

使用SpringMVC的@Validated注解验证

1、SpringMVC验证@Validated的使用 第一步:编写国际化消息资源文件 编写国际化消息资源ValidatedMessage.properties文件主要是用来显示错误的消息定制 [java] view plain copy edit.userna...

瑟青豆 ⋅ 今天 ⋅ 0

19.压缩工具gzip bzip2 xz

6月22日任务 6.1 压缩打包介绍 6.2 gzip压缩工具 6.3 bzip2压缩工具 6.4 xz压缩工具 6.1 压缩打包介绍: linux中常见的一些压缩文件 .zip .gz .bz2 .xz .tar .gz .tar .bz2 .tar.xz 建立一些文...

王鑫linux ⋅ 今天 ⋅ 0

6. Shell 函数 和 定向输出

Shell 常用函数 简洁:目前没怎么在Shell 脚本中使用过函数,哈哈,不过,以后可能会用。就像java8的函数式编程,以后获取会用吧,行吧,那咱们简单的看一下具体的使用 Shell函数格式 linux ...

AHUSKY ⋅ 今天 ⋅ 0

单片机软件定时器

之前写了一个软件定时器,发现不够优化,和友好,现在重写了 soft_timer.h #ifndef _SOFT_TIMER_H_#define _SOFT_TIMER_H_#include "sys.h"typedef void (*timer_callback_function)(vo...

猎人嘻嘻哈哈的 ⋅ 今天 ⋅ 0

好的资料搜说引擎

鸠摩搜书 简介:鸠摩搜书是一个电子书搜索引擎。它汇集了多个网盘和电子书平台的资源,真所谓大而全。而且它还支持筛选txt,pdf,mobi,epub、azw3格式文件。还显示来自不同网站的资源。对了,...

乔三爷 ⋅ 今天 ⋅ 0

Debian下安装PostgreSQL的表分区插件pg_pathman

先安装基础的编译环境 apt-get install build-essential libssl1.0-dev libkrb5-dev 将pg的bin目录加入环境变量,主要是要使用 pg_config export PATH=$PATH:/usr/lib/postgresql/10/bin 进......

玛雅牛 ⋅ 今天 ⋅ 0

inno安装

#define MyAppName "HoldChipEngin" #define MyAppVersion "1.0" #define MyAppPublisher "Hold Chip, Inc." #define MyAppURL "http://www.holdchip.com/" #define MyAppExeName "HoldChipE......

backtrackx ⋅ 今天 ⋅ 0

Linux(CentOS)下配置php运行环境及nginx解析php

【part1:搭建php环境】 1.选在自己需要安装的安装包版本,wget命令下载到服务器响应目录 http://php.net/releases/ 2.解压安装包 tar zxf php-x.x.x 3.cd到解压目录执行如下操作 cd ../php-...

硅谷课堂 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部