繼wannacry之后,Petya勒索軟件攻擊再次席卷全球,對(duì)歐洲、俄羅斯等多國(guó)政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場(chǎng)造成了不同程度的影響。
研究發(fā)現(xiàn),Petya 會(huì)鎖定磁盤(pán)的 MFT 和 MBR 區(qū),導(dǎo)致計(jì)算機(jī)無(wú)法啟動(dòng)。除非受害者支付贖金解鎖,否則無(wú)法恢復(fù)他們的系統(tǒng)。但在此前的wannacry勒索軟件事件發(fā)生的時(shí)候,阿里聚安全就建議大家不要支付贖金,一方面支付贖金后不一定能找回?cái)?shù)據(jù),其次這些贖金會(huì)進(jìn)一步刺激攻擊者挖掘漏洞,并升級(jí)攻擊手段。
好消息是Cybereason安全研究員Amit Serper已經(jīng)找到了一種方法來(lái)防止Petya (notpetya / sortapetya / petna)勒索軟件來(lái)感染電腦,這種方法簡(jiǎn)直一勞永逸!
研究員蜂擁尋找killswitch機(jī)制
在Petya 爆發(fā)的第一時(shí)間,國(guó)內(nèi)外安全研究人員們蜂擁而上對(duì)其進(jìn)行分析,一開(kāi)始他們認(rèn)為Petya無(wú)非是新瓶裝舊酒,和其他勒索軟件相似。但在進(jìn)一步研究過(guò)程中,他們發(fā)現(xiàn)這是一種全新的勒索蠕蟲(chóng)病毒。因此它的名字從Petya逐漸變?yōu)镹otpetya,Petna,以及SortaPetya。
研究員分析勒索軟件的運(yùn)作機(jī)制后,發(fā)現(xiàn)NotPetya會(huì)搜索本地文件,如果文件已經(jīng)在磁盤(pán)上存在,那么勒索軟件就會(huì)退出加密。這意味著,受害者只需要在自己電腦上創(chuàng)建這個(gè)文件,并將其設(shè)置為只讀,就可以成功封鎖Notpetya勒索軟件的執(zhí)行。
這種方法不能阻止勒索病毒的運(yùn)行,因?yàn)樗拖褡⑸湟呙缱屧O(shè)備免疫病毒攻擊,而不是殺死病毒。它可以讓受害者一勞永逸,不再受到勒索軟件的感染。