主页 > 中国分类 >Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

来源:中国分类 2020-06-08 14:49:21
Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

新型勒索软体 Petya 开始全球爆发,别以为上次 Wannacry 事件电脑更新过就没事,这次 Petya 不只用了 SMBv1 漏动,更结合 Windows 网路安装弱点攻击。这里教 Windows 用户快速解决这重大危机。

有多少机会中招?

目前第一波虽未到上次 WannaCry 的强度但也不弱,目前英、美、法、德都有超过 2,000 台电脑感染、乌克兰国家银行及电力公司都中招。受害人想解锁硬碟需支付价值 300 美元的比特币,暂时已有 32 名受害者付费,总值大约 6,775 美元。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

电脑有更新 / Win10 也中招

即使安装了 Eternalblue 漏洞(WannaCry)的修正档也一样中招,这是 Petya 最致命的地方。所以这次 Windows 10 用户也难逃一劫。

只要网路上有一台电脑忘记更新或修正 Windows 的 SMBv1 漏洞,这样 Petya 便会感染那台电脑然后再利用 Windows 客户端攻击(CVE-2017-0199),透过 WMIC 及 PSEXEC 在网路上的其他电脑进行安装 Petya 勒索软体,只要你的电脑密码是简单组合,就容易被攻破。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

 ATM 也中招。

Windows 用户密码太容易被破解

Petya 内建工具懂得由 Windows 客户端及 Domain Controller 中偷取密码情报,由于公司电脑只用来处理公事,没有个人隐私下很多时候都忽略密码的重要性。很多人务求回到公司开机方便,都设定一些比较简单易记的密码,甚至没有设定。Petya 很容易就执行指令,直接透过网路安装到你的电脑上

Windows 突然 Reboot 强制加密

有别于 Wannacry,Petya 不会在背后偷偷加密你的档案,用户不会发觉电脑变慢。它中招后 1 小时内静静不动,然后强制 BSOD 当机 Reboot 进行加密硬碟的 MFT 及修改 MBR,整个过程超快,加密时会隐藏成扫瞄及修护硬碟,让用户不敢打断(这是 Windows 当机后常见的事),完成后整颗硬碟都不能再存取,连 Windows 都进不了,因此破坏力比 WannaCry 强。

中招过程:

Step 1:

中招后电脑当机 Reboot ,然后扮成扫瞄硬碟(一见到这画面请立即关机进行自救)。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

Step 2:

然后会提示你解锁要付 300 美元的比特币,期间硬碟 MFT 被加密,不能进入 Windows 也不能安装到其他电脑上做档案存取。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

预防方法 :

1. 更改使用複杂的 Windows 密码

如果上次 Wannacry 爆发时你没更新电脑,请立即进行更新 。另外,如果你没设登入密码或密码过于简单,请立即更改。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

2. 预先製作 Petya Kill – Switch(必做)

跟 WannaCry 一样,Petya 也有自己的 Kill Switch 自杀停止运作 ,製作这个 Kill-Switch 非常简单,但暂时只能防止目前版本,有变种的话便无效(还是建议使用强密码)。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

Step 1:

右按 Windows Logo,选择命令提示字元(系统管理员)。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

Step 2:

输入以下指令,目的为了在 Windows 资料夹中(e.g C:\Windows)建立一个 perfc 、perfc.dll、perfc.dat 档。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

3. 安装 MBRFilter(危急才用)

Cisco 于上年写了一个叫 MBRFilter 的档案以防止硬碟的 Sector 0 写入, 这可以防止 Petya 更改 MBR 以进行加密。安装这个需要有一定的 IT 基础(连结)。

4. 关闭 WMI 服务(危急才用)

关闭了 Windows 的远端安装服务,防止 Petya 透过网路在你的电脑上安装(如果你电脑有使用 RDP 或其他远端管理工具,关闭 WMI 后有可能无法使用,Windows Security Center 也会受影响)。因此不建议长期关闭,只能当作暂停扩散之用。

Step 1:

右按 Windows Logo,选择命令提示字元(系统管理员)。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

Step 2:

输入 net stop winmgmt b(其后可用 net start winmgmt 重新开启服务)

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

中招解决方法 :

发现电脑 Reboot 就关机,别等

由于 Petya 需要 Reboot 后才进行加密程序,所以电脑用户发现 Windows 突然当机无故重开的话,一看到 Windows Logo 就立即关机,然后使用开机光碟 Boot 机或把硬碟取出接到其他电脑进行清理、製作 Kill Switch、备份。如果你让它加密完成,你的电脑显示以下画面就暂时无法救回来了,要等待资安公司找出救援方案。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

一 Reboot 或看到 Windows Logo 立即关机不要让它加密。关机后档案在硬碟是安全的,只要不启动让它再进行加密。

Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

 假若加密完成,就无法取存硬碟。

补充:Petya 不是 Petya?是新病毒

正当媒体及资安专家认为这个勒索软体是 Petya 的变种版本,Kaspersky Labs 表示,并非如此,是一种全新的病毒,只有部分 Strings 相近但执行方法不一样,Kaspersky Labs 暂时称这为 ExPetr、部分人叫做 NotPetya。

相关热门推荐