719
技術社區[雲棲]
Petya勒索病毒疫苗出現,分分鍾讓電腦對病毒免疫
繼wannacry之後,Petya勒索軟件攻擊再次席卷全球,對歐洲、俄羅斯等多國政府、銀行、電力係統、通訊係統、企業以及機場造成了不同程度的影響。
研究發現,Petya 會鎖定磁盤的 MFT 和 MBR 區,導致計算機無法啟動。除非受害者支付贖金解鎖,否則無法恢複他們的係統。但在此前的wannacry勒索軟件事件發生的時候,阿裏聚安全就建議大家不要支付贖金,一方麵支付贖金後不一定能找回數據,其次這些贖金會進一步刺激攻擊者挖掘漏洞,並升級攻擊手段。
好消息是Cybereason安全研究員Amit Serper已經找到了一種方法來防止Petya (notpetya / sortapetya / petna)勒索軟件來感染電腦,這種方法簡直一勞永逸!
研究員蜂擁尋找killswitch機製
在Petya 爆發的第一時間,國內外安全研究人員們蜂擁而上對其進行分析,一開始他們認為Petya無非是新瓶裝舊酒,和其他勒索軟件相似。但在進一步研究過程中,他們發現這是一種全新的勒索蠕蟲病毒。因此它的名字從Petya逐漸變為Notpetya,Petna,以及SortaPetya。
研究員分析勒索軟件的運作機製後,發現NotPetya會搜索本地文件,如果文件已經在磁盤上存在,那麼勒索軟件就會退出加密。這意味著,受害者隻需要在自己電腦上創建這個文件,並將其設置為隻讀,就可以成功封鎖Notpetya勒索軟件的執行。
這種方法不能阻止勒索病毒的運行,因為它就像注射疫苗讓設備免疫病毒攻擊,而不是殺死病毒。它可以讓受害者一勞永逸,不再受到勒索軟件的感染。
這一發現就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究機構的證實。
如何注射Notpetya//Petna/Petya疫苗
批量創建方法,適用於運維管理
在C盤的Windows文件夾下創建一個perfc文件,並設置為隻讀。對於那些想要快速創建文件的人,Lawrence Abrams演示了批量創建文件的步驟。請注意,批量創建文件的同時還需要創建perfc.dat和perfc.dll兩個文件。
批量文件處理工具下載地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat
手動創建方法,適用於個人
1、首先,在 Windows 資源管理器中去除“隱藏已知文件類型的擴展名”的勾選(文件夾選項 -> 查看 ->隱藏已知文件類型的擴展名)
2、打開 C:Windows文件夾,選中記事本(notepad.exe)程序,複製並粘貼它的副本。粘貼文件時,可能需要賦予管理員權限。
3、將 notepad(副本).exe重命名為perfc,記得擴展名也去掉。
4、右鍵選中該文件,點擊屬性,在彈出的文件屬性對話框中,將其設置為“隻讀”
創建好文件後,建議同時創建在C盤的Windows文件夾下創建perfc.dat和perfc.dll。
此方法來源於bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
---------------------------------------------
阿裏聚安全編譯,更多安全類熱點及知識分享,請關注阿裏聚安全的官方博客
最後更新:2017-06-29 13:31:55