原文鏈接
繼wannacry之后稿存,Petya勒索軟件攻擊再次席卷全球,對(duì)歐洲瞳秽、俄羅斯等多國(guó)政府瓣履、銀行、電力系統(tǒng)练俐、通訊系統(tǒng)袖迎、企業(yè)以及機(jī)場(chǎng)造成了不同程度的影響。
研究發(fā)現(xiàn)腺晾,Petya 會(huì)鎖定磁盤(pán)的 MFT 和 MBR 區(qū)燕锥,導(dǎo)致計(jì)算機(jī)無(wú)法啟動(dòng)。除非受害者支付贖金解鎖悯蝉,否則無(wú)法恢復(fù)他們的系統(tǒng)归形。但在此前的wannacry勒索軟件事件發(fā)生的時(shí)候,阿里聚安全就建議大家不要支付贖金鼻由,一方面支付贖金后不一定能找回?cái)?shù)據(jù)暇榴,其次這些贖金會(huì)進(jìn)一步刺激攻擊者挖掘漏洞,并升級(jí)攻擊手段蕉世。
好消息是Cybereason安全研究員Amit Serper已經(jīng)找到了一種方法來(lái)防止Petya (notpetya / sortapetya / petna)勒索軟件來(lái)感染電腦蔼紧,這種方法簡(jiǎn)直一勞永逸!
在Petya 爆發(fā)的第一時(shí)間狠轻,國(guó)內(nèi)外安全研究人員們蜂擁而上對(duì)其進(jìn)行分析奸例,一開(kāi)始他們認(rèn)為Petya無(wú)非是新瓶裝舊酒,和其他勒索軟件相似向楼。但在進(jìn)一步研究過(guò)程中哩至,他們發(fā)現(xiàn)這是一種全新的勒索蠕蟲(chóng)病毒。因此它的名字從Petya逐漸變?yōu)镹otpetya蜜自,Petna,以及SortaPetya卢佣。
研究員分析勒索軟件的運(yùn)作機(jī)制后重荠,發(fā)現(xiàn)NotPetya會(huì)搜索本地文件,如果文件已經(jīng)在磁盤(pán)上存在虚茶,那么勒索軟件就會(huì)退出加密戈鲁。這意味著,受害者只需要在自己電腦上創(chuàng)建這個(gè)文件嘹叫,并將其設(shè)置為只讀婆殿,就可以成功封鎖Notpetya勒索軟件的執(zhí)行。
這種方法不能阻止勒索病毒的運(yùn)行罩扇,因?yàn)樗拖褡⑸湟呙缱屧O(shè)備免疫病毒攻擊婆芦,而不是殺死病毒怕磨。它可以讓受害者一勞永逸,不再受到勒索軟件的感染消约。
這一發(fā)現(xiàn)就得到了 PT Security肠鲫、TrustedSec、以及 Emsisoft 等安全研究機(jī)構(gòu)的證實(shí)或粮。
如何注射N(xiāo)otpetya//Petna/Petya疫苗
在C盤(pán)的Windows文件夾下創(chuàng)建一個(gè)perfc文件,并設(shè)置為只讀氯材。對(duì)于那些想要快速創(chuàng)建文件的人渣锦,Lawrence Abrams演示了批量創(chuàng)建文件的步驟。請(qǐng)注意氢哮,批量創(chuàng)建文件的同時(shí)還需要?jiǎng)?chuàng)建perfc.dat和perfc.dll兩個(gè)文件袋毙。
批量文件處理工具下載地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat
手動(dòng)創(chuàng)建方法,適用于個(gè)人
1命浴、首先娄猫,在 Windows 資源管理器中去除“隱藏已知文件類(lèi)型的擴(kuò)展名”的勾選(文件夾選項(xiàng) -> 查看 ->隱藏已知文件類(lèi)型的擴(kuò)展名)
2、打開(kāi) C:Windows文件夾生闲,選中記事本(notepad.exe)程序媳溺,復(fù)制并粘貼它的副本。粘貼文件時(shí)碍讯,可能需要賦予管理員權(quán)限悬蔽。
3、將 notepad(副本).exe重命名為perfc捉兴,記得擴(kuò)展名也去掉蝎困。
4、右鍵選中該文件倍啥,點(diǎn)擊屬性禾乘,在彈出的文件屬性對(duì)話(huà)框中,將其設(shè)置為“只讀”
創(chuàng)建好文件后虽缕,建議同時(shí)創(chuàng)建在C盤(pán)的Windows文件夾下創(chuàng)建perfc.dat和perfc.dll始藕。
此方法來(lái)源于bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
---------------------------------------------
阿里聚安全編譯氮趋,更多安全類(lèi)熱點(diǎn)及知識(shí)分享伍派,請(qǐng)關(guān)注阿里聚安全的官方博客
