繼wannacry之后,Petya勒索軟件攻擊再次席卷全球,對歐洲、俄羅斯等多國政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場造成了不同程度的影響。

 

研究發(fā)現(xiàn),Petya 會鎖定磁盤的 MFT 和 MBR 區(qū),導致計算機無法啟動。除非受害者支付贖金解鎖,否則無法恢復他們的系統(tǒng)。但在此前的wannacry勒索軟件事件發(fā)生的時候,阿里聚安全就建議大家不要支付贖金,一方面支付贖金后不一定能找回數(shù)據(jù),其次這些贖金會進一步刺激攻擊者挖掘漏洞,并升級攻擊手段。

 

好消息是Cybereason安全研究員Amit Serper已經找到了一種方法來防止Petya (notpetya / sortapetya / petna)勒索軟件來感染電腦,這種方法簡直一勞永逸!

 

研究員蜂擁尋找killswitch機制

在Petya 爆發(fā)的第一時間,國內外安全研究人員們蜂擁而上對其進行分析,一開始他們認為Petya無非是新瓶裝舊酒,和其他勒索軟件相似。但在進一步研究過程中,他們發(fā)現(xiàn)這是一種全新的勒索蠕蟲病毒。因此它的名字從Petya逐漸變?yōu)镹otpetya,Petna,以及SortaPetya。

 

研究員分析勒索軟件的運作機制后,發(fā)現(xiàn)NotPetya會搜索本地文件,如果文件已經在磁盤上存在,那么勒索軟件就會退出加密。這意味著,受害者只需要在自己電腦上創(chuàng)建這個文件,并將其設置為只讀,就可以成功封鎖Notpetya勒索軟件的執(zhí)行。

 

這種方法不能阻止勒索病毒的運行,因為它就像注射疫苗讓設備免疫病毒攻擊,而不是殺死病毒。它可以讓受害者一勞永逸,不再受到勒索軟件的感染。

 

這一發(fā)現(xiàn)就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究機構的證實。

 

如何注射Notpetya//Petna/Petya疫苗

批量創(chuàng)建方法,適用于運維管理

在C盤的Windows文件夾下創(chuàng)建一個perfc文件,并設置為只讀。對于那些想要快速創(chuàng)建文件的人,Lawrence Abrams演示了批量創(chuàng)建文件的步驟。請注意,批量創(chuàng)建文件的同時還需要創(chuàng)建perfc.dat和perfc.dll兩個文件。

 

批量文件處理工具下載地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat

 

手動創(chuàng)建方法,適用于個人

1、首先,在 Windows 資源管理器中去除“隱藏已知文件類型的擴展名”的勾選(文件夾選項 -> 查看 ->隱藏已知文件類型的擴展名)

 


 

2、打開 C:Windows文件夾,選中記事本(notepad.exe)程序,復制并粘貼它的副本。粘貼文件時,可能需要賦予管理員權限。

 


 

3、將 notepad(副本).exe重命名為perfc,記得擴展名也去掉。

 



 

4、右鍵選中該文件,點擊屬性,在彈出的文件屬性對話框中,將其設置為“只讀”

 


 

創(chuàng)建好文件后,建議同時創(chuàng)建在C盤的Windows文件夾下創(chuàng)建perfc.dat和perfc.dll。

 

此方法來源于bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

 

http://www.cnblogs.com/alisecurity/p/7093955.html