Petya勒索病毒疫苗出现亚洲城误乐城ca88网站

继wannacry之后,Petya勒索软件攻击再一次席卷全球,对非洲、战斗民族(Rose)等多国内阁、银行、电力系统、通讯系统、公司以及机场造成了不同水平的影响。

 

探究发现,Petya 会锁定磁盘的 MFT 和 MBR
区,导致统计机不可能启动。除非受害者支付赎金解锁,否则不可以复苏他们的系列。但在从前的wannacry勒索软件事件暴发的时候,阿里聚安然就提出我们不要支付赎金,一方面支付赎金后不必然能找回数据,其次这个赎金会进一步鼓舞攻击者挖掘漏洞,并升级攻击手段。

 

好音讯是Cybereason安全琢磨员Amit Serper已经找到了一种艺术来严防Petya
(notpetya / sortapetya /
petna)勒索软件来感染电脑,这种方法简直一劳永逸!

 

探究员蜂拥寻找killswitch机制

在Petya
爆发的第一时间,国内外安全研讨人士们蜂拥而上对其开展剖析,一起头他们认为Petya无非是新瓶装旧酒,和任何勒索软件相似。但在更为钻探过程中,他们发现这是一种崭新的敲诈蠕虫病毒。因此它的名字从Petya逐步改为Notpetya,Petna,以及SortaPetya。

 

探究员分析勒索软件的运行机制后,发现NotPetya会搜索本地文件,假诺文件已经在磁盘上存在,那么勒索软件就会退出加密。这意味,受害者只需要在自己电脑上创建这么些文件,并将其设置为只读,就可以成功封锁Notpetya勒索软件的推行。

 

这种措施无法拦截勒索病毒的周转,因为它就像注射疫苗让设备免疫病毒攻击,而不是杀死病毒。它能够让受害人一劳永逸,不再遭逢敲诈软件的熏染。

 

这一意识就获取了 PT Security、TrustedSec、以及 Emsisoft
等安全探究单位的验证。

 

咋样注射Notpetya//Petna/Petya疫苗

批量成立方法,适用于运维管理

在C盘的Windows文件夹下创制一个perfc文件,并设置为只读。对于那个想要急忙创造文件的人,Lawrence
Abrams
以身作则了批量创造文件的步调。请留心,批量创办文件的同时还需要创制perfc.dat和perfc.dll多少个文本。

 

批量文书处理工具下载地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat

 

手动创造方法,适用于民用

1、首先,在 Windows
资源管理器中去除“隐藏已知文件类型的恢宏名”的勾选(文件夹选项 -> 查看
->隐藏已知文件类型的壮大名)

 

亚洲城误乐城ca88网站 1

 

2、打开
C:Windows文件夹,选中记事本(notepad.exe)程序,复制并粘贴它的副本。粘贴文件时,可能需要给予管理员权限。

 

亚洲城误乐城ca88网站 2

 

3、将 notepad(副本).exe重命名为perfc,记得扩充名也去掉。

 

亚洲城误乐城ca88网站 3

亚洲城误乐城ca88网站 4

 

4、右键选中该文件,点击属性,在弹出的文件属性对话框中,将其安装为“只读”

 

亚洲城误乐城ca88网站 5

 

开创好文件后,指出还要创制在C盘的Windows文件夹下创制perfc.dat和perfc.dll。

 

此措施来源于bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

亚洲城误乐城ca88网站, 


阿里聚安全编译,更多安全类热点及知识分享,请关注阿里聚平安的法定博客