Petya勒索病毒疫苗出现,分分钟让电脑对病毒免疫
  

Travelnight 2305

{{ttag.title}}
Petya勒索病毒疫苗出现,分分钟让电脑对病毒免疫
543345955bc1a0c1dc.png
                              
Wannacry之后,Petya勒索软件攻击再次席卷全球,对欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场造成了不同程度的影响。研究发现,Petya 会锁定磁盘的 MFT MBR 区,导致计算机无法启动。除非受害者支付赎金解锁,否则无法恢复他们的系统。在此前的wannacry勒索软件事件发生的时候,阿里聚安全就建议大家不要支付赎金,一方面支付赎金后不一定能找回数据,其次这些赎金会进一步刺激攻击者挖掘漏洞,并升级攻击手段。
好消息是Cybereason安全研究员Amit Serper已经找到了一种方法来防止Petya notpetya / sortapetya / petna)勒索软件来感染电脑,这种方法简直一劳永逸!

研究员蜂拥寻找killswitch机制

       在Petya 爆发的第一时间,国内外安全研究人员们蜂拥而上对其进行分析,一开始他们认为Petya无非是新瓶装旧酒,和其他勒索软件相似。但在进一步研究过程中,他们发现这是一种全新的勒索蠕虫病毒。因此它的名字从Petya逐渐变为NotpetyaPetna,以及SortaPetya……

       研究员分析勒索软件的运作机制后,发现NotPetya会搜索本地文件,如果文件已经在磁盘上存在,那么勒索软件就会退出加密。这意味着,受害者只需要在自己电脑上创建这个文件,并将其设置为只读,就可以成功封锁Notpetya勒索软件的执行。
这种方法不能阻止勒索病毒的运行,因为它就像注射疫苗让设备免疫病毒攻击,而不是杀死病毒。它可以让受害者一劳永逸,不再受到勒索软件的感染。
这一发现就得到了 PT SecurityTrustedSec、以及 Emsisoft 等安全研究机构的证实。


如何注射Notpetya//Petna/Petya疫苗

批量创建方法,适用于运维管理
C盘的Windows文件夹下创建一个perfc文件,并设置为只读。对于那些想要快速创建文件的人,Lawrence Abrams演示了批量创建文件的步骤。请注意,批量创建文件的同时还需要创建perfc.datperfc.dll两个文件。
批量文件处理工具下载地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat
手动创建方法,适用于个人
1、首先,在 Windows 资源管理器中去除隐藏已知文件类型的扩展名的勾选(文件夹选项 -> 查看 ->隐藏已知文件类型的扩展名)
642685955bb908a779.png
2、打开 C:Windows文件夹,选中记事本(notepad.exe)程序,复制并粘贴它的副本。粘贴文件时,可能需要赋予管理员权限。
530505955bb9ddf136.png
3、将 notepad(副本).exe重命名为perfc,记得扩展名也去掉。
104995955bbab386e0.png
828415955bbc241173.png
  
4、右键选中该文件,点击属性,在弹出的文件属性对话框中,将其设置为只读
创建好文件后,建议同时创建在C盘的Windows文件夹下创建perfc.datperfc.dll
534725955bbce2abef.png
此方法来源于bleepingcomputer,阿里聚安全编译
https://zhuanlan.zhihu.com/p/27613698

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_朱丽 发表于 2017-6-30 15:26
  
关于Petya病毒,某公司 已第一时间提出来安全处理建议,请参考:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=32916
tj_zero 发表于 2017-7-10 10:15
  
使用的是某公司官方的方案。
新手425884 发表于 2019-5-18 16:16
  
使用的是某公司官方的方案。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
自助服务平台操作指引
标准化排查
秒懂零信任
产品连连看
新版本体验
安装部署配置
GIF动图学习
功能体验
玩转零信任
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人