堤防自救看那里

最新勒索软件 Petya 伊始全球发生,别感到上次 Wannacry
事件计算机更新过就没事,本次 Petya 不只用了 SMBv一 漏动,更结合 Windows
网络安装弱点攻击。那里教 Windows 用户急速消除那根本风险。

有微微型Computer会中招?

时下先是波虽未到上次 WannaCry 的强度但也不弱,近期英、美、法、德都有超过2,000
台Computer感染、乌Crane国家银行及电力公司都中招。受害人想解锁硬盘需支付价值
300 日元的比特币,暂且已有 3二 名受害者付费,总值大致 陆,77伍 台币。

图片 1

处理器有更新 / Win拾 也中招

纵使安装了 Eternalblue 漏洞(WannaCry)的补丁也一如既往中招,那是 Petya
最致命的地点。所以此次 Windows 10 用户也难逃壹劫。

假使网络上有壹台Computer忘记更新或立异 Windows 的 SMBv一 漏洞,那样 Petya
便会染上这台微型Computer然后再选择 Windows
客户端攻击(CVE-2017-019九),通过 WMIC 及 PSEXEC
在网络上的其余计算机进行设置 Petya
勒索软件,只要你的Computer密码是粗略组合,就便于被据有。

图片 2

ATM 也中招

Windows 用户密码太轻便被破解

Petya 内建筑工程具掌握由 Windows 客户端及 Domain Controller
中偷取密码情报,由于店肆Computer只用来处理公事,未有个人隐衷行繁多时候都忽视密码的要害。很两人供给回到市廛开机方便,都设定一些相比较简单易记的密码,甚至尚未设定。Petya
很轻便就实施命令,直接通过网络安装到你的Computer上

Windows 突然 Reboot 强制加密

区别 Wannacry,Petya
不会在轻手轻脚偷偷加密你的档案,用户不会发现计算机变慢。它中招后 ①小时内静静不动,然后强制 BSOD 当机 Reboot 举行加密硬盘的 MFT 及修改
MBLAND,整个经过超快,加密时会隐藏成扫描及修理维护硬盘,让用户不敢打断(那是
Windows 死机后大规模的事),完毕后全体硬盘都不能够再存取,连 Windows
都进不了,由此破坏力比 WannaCry 强。

中招进程:

Step 1:

中招后计算机死机 Reboot
,然后扮成扫描硬盘(一见到那镜头请马上关机进行自救)。

图片 3

图片 4

Step 2:

下一场会提醒您解锁要付 300 英镑的比特币,时期硬盘 MFT 被加密,不可能进入
Windows 也不可能安装到其余计算机上做档案存取

图片 5

谨防措施 :

1. 变动使用复杂的 Windows 密码

若果上次 Wannacry 发生时您没更新Computer,请登时开始展览更新
。此外,倘诺您没设登录密码或密码过于简短,请马上转移。

图片 6

2. 预先制作 Petya Kill – Switch(必做)

跟 WannaCry 同样,Petya 也有和好的 Kill Switch 自杀停止运作 ,制作这么些Kill-Switch
相当轻便,但临时只可以卫戍近来版本,有变种的话便无效(如故提议选拔强密码)。

图片 7

Step 1:

右键 Windows Logo,接纳命令提醒字符(系统管理员)。

图片 8

Step 2:

输入以下指令,指标为了在 Windows 资料夹中(e.g C:\Windows)建立多个perfc 、perfc.dll、perfc.dat 档。

cd..(按 Enter)

copy con perfc(按 Enter)

(按 Ctrl + Z)

(按 Enter)

copy perfc perfc.dll(按 Enter)

copy perfc perfc.dat(按 Enter)

图片 9

图片 10

图片 11

  1. 设置 MB卡宴Filter(危急才用)

Cisco 于2018年写了1个叫 MB宝马X3Filter 的档案避防御硬碟的 Sector 0 写入,
这可以幸免 Petya 更动 MBPRADO 以开始展览加密。安装这一个须要有一定的 IT
基础(链接)

  1. 关门 WMI 服务(危险才用)

闭馆了 Windows 的长距离安装服务,幸免 Petya
通过互连网在您的微型Computer上安装(借使你计算机有应用 安德拉DP 或任何远程管理工科具,关闭
WMI 后有非常的大恐怕不能够运用,Windows Security Center
也会受影响)。由此不指出长时间关闭,只可以当作暂停扩散之用。

Step 1:

右键 Windows Logo,选取命令提示字符(系统一管理理员)。

图片 12

Step 2:

输入net stop winmgmt b(其后可用 net start winmgmt
重复开启服务)

图片 13

中招解決方法 :

意识Computer Reboot 就关机,别等

鉴于 Petya 须要 Reboot 后才开始展览加密程序,所以计算机用户发现
Windows 突然死机无故重启的话,壹看到 Windows Logo
就随即关机,然后采纳开机光碟 Boot
机或把硬盘收取接到其余Computer进行清理、制作 Kill
Switch、备份。如果您让它加密完结,你的Computer展现以下画面就暂且不能救回来了。

图片 14

1 Reboot 或看到 Windows Logo马上关机不要让它加密。关机后档案在硬盘是安枕而卧的,只要不运营让它再展开加密。

图片 15

▲ 借使加密完毕,就不能取存硬盘。(Source:@0xAmit

补充:Petya 不是 Petya?是新病毒

正当媒体及互连网安全大家以为这么些勒索软件是 Petya 的变种版本,Kaspersky
Labs 表示,并非如此,是1种斩新的病毒,唯有部分 Strings
周边但实行办法分化,Kaspersky Labs 权且称那为 ExPetr、部分人叫做
NotPetya。


版权全部:Unwire
HK

简化整理:多特蒙德家用电器物联网云平台,极动云

CONTACT US: http://www.iot-jd.com