Petya勒索病毒疫苗出现_分分钟让电脑对病毒免疫

原文链接

继wannacry之后,Petya勒索软件攻击再次席卷全球,对欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场造成了不同程度的影响。

研究发现,Petya 会锁定磁盘的 MFT 和 MBR 区,导致计算机无法启动。除非受害者支付赎金解锁,否则无法恢复他们的系统。但在此前的wannacry勒索软件事件发生的时候,阿里聚安全就建议大家不要支付赎金,一方面支付赎金后不一定能找回数据,其次这些赎金会进一步刺激攻击者挖掘漏洞,并升级攻击手段。

好消息是Cybereason安全研究员Amit Serper已经找到了一种方法来防止Petya (notpetya / sortapetya / petna)勒索软件来感染电脑,这种方法简直一劳永逸!

研究员蜂拥寻找killswitch机制

在Petya 爆发的第一时间,国内外安全研究人员们蜂拥而上对其进行分析,一开始他们认为Petya无非是新瓶装旧酒,和其他勒索软件相似。但在进一步研究过程中,他们发现这是一种全新的勒索蠕虫病毒。因此它的名字从Petya逐渐变为Notpetya,Petna,以及SortaPetya。

研究员分析勒索软件的运作机制后,发现NotPetya会搜索本地文件,如果文件已经在磁盘上存在,那么勒索软件就会退出加密。这意味着,受害者只需要在自己电脑上创建这个文件,并将其设置为只读,就可以成功封锁Notpetya勒索软件的执行。

这种方法不能阻止勒索病毒的运行,因为它就像注射疫苗让设备免疫病毒攻击,而不是杀死病毒。它可以让受害者一劳永逸,不再受到勒索软件的感染。

这一发现就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究机构的证实。

如何注射Notpetya//Petna/Petya疫苗

批量创建方法,适用于运维管理

在C盘的Windows文件夹下创建一个perfc文件,并设置为只读。对于那些想要快速创建文件的人,Lawrence Abrams演示了批量创建文件的步骤。请注意,批量创建文件的同时还需要创建perfc.dat和perfc.dll两个文件。

批量文件处理工具下载地址:https://download.bleepingcomputer.com/bats/nopetyavac.bat

手动创建方法,适用于个人

1、首先,在 Windows 资源管理器中去除“隐藏已知文件类型的扩展名”的勾选(文件夹选项 -> 查看 ->隐藏已知文件类型的扩展名)

2、打开 C:Windows文件夹,选中记事本(notepad.exe)程序,复制并粘贴它的副本。粘贴文件时,可能需要赋予管理员权限。

3、将 notepad(副本).exe重命名为perfc,记得扩展名也去掉。

4、右键选中该文件,点击属性,在弹出的文件属性对话框中,将其设置为“只读”

创建好文件后,建议同时创建在C盘的Windows文件夹下创建perfc.dat和perfc.dll。

此方法来源于bleepingcomputer,原文地址:https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

---------------------------------------------

阿里聚安全编译,更多安全类热点及知识分享,请关注阿里聚安全的官方博客

原文链接

时间: 2024-10-06 22:29:45

Petya勒索病毒疫苗出现_分分钟让电脑对病毒免疫的相关文章

Petya勒索木马

同事小学妹神好奇心,在陌生群里了个软件,接下来就是自动重启无法开机. 找我一看,凭我专业帮妹纸装系统多年的经验,起初也不觉得有啥困难,兼容模式下重启,接下来出现这个: 按下any key后: 试了U盘启动无法成功,还让咱买key! 丢脸就丢脸吧,我建议小学妹找售后.不管有多重要的数据,决不能让这种坏人得逞! 下面是360团队的解决办法: Petya勒索木马分析及手工修复方法

手电筒惊现海量root病毒:私自扣费、强装病毒、恶意弹窗

手电筒惊现海量root病毒:私自扣费.强装病毒.恶意弹窗 近期出现的手电筒root病毒,一旦在手机上成功安装后,即会通过私自发送扣费短信订制包月业务,造成用户话费损失,并注入大量恶意elf文件至手机system目录,危害用户手机系统安全.此外,此类病毒还会私自下载并安装大量恶意软件和推广软件到用户手机系统.匿名弹出大量恶意广告,从而造成资费消耗并影响用户正常使用手机. 1.用户量情况 根据特征共找到575个样本: Rom内周用户量:2441 Rom外周用户量:9736 Rom内用户量最高的样本:

关于抵御Petya勒索病毒的最新办法

该病毒的流行程度已经不用和大家介绍了吧,目前世界上各反编译大神们都在积极的逆向改程序. 根据最新的研究成果.Petya 也有自己的 Kill-Switch 自殺停止運作,这个简单的动作可以有效的终止病毒的执行. 注意:这里是防止程序运行,而不是预防感染. 方法如下: 没错,就是使用cmd(管理员权限)在 windows目录下创建 perfc和perfc.dat.perfc.dll文件 因为水印关系,重现一下命令 rem . > %WINNDOR%\perfc.dat 结果如下: 注意红框的per

让你电脑避免病毒困扰的方法

随着互联网的快速发展,各种应用程序的爆发,用户面临着常用应用程序中的漏洞带来的风险.而黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,他们会想尽种种方法对其进行伪装.而作为被害者,我们又该如何识破伪装,避免受到困扰呢! 1.少用搜索去搜索软件 因为放木马的人都是去下载网站买一些广告位,然后做些下载按钮,你点击下载,又不知道是什么软件,点击打开安装就容易中毒了.最好是的去一些大的软件下载网站,通过站内搜索,通过站内下载,这些是比较有保证的. 2.不要插入杂七杂八的U盘 这些百分之

动态IP转换器_怎么修改电脑/手机IP地址

提到IP大家都应该知道,IP显示是一个你所在地的一个代码,凡是有带网络的产品设备都会有一个独立的IP显示地址.如果你是连接的WIFI此时你的IP就是你连接的网络的IP. 你是使用的手机网络就是你手机网络的IP地址.有的人想自己在手机或者电脑上设置成一个别的城市的IP地址应该怎么解决呢.其实一般手机是动态IP地址的,也就是你手机上的IP地址是可以自己切换的,但是不能换IP显示的城市,IP变动也是不大的,现在可以利用一个IP转换器的工具来使用的,可以全国性的修改IP地址,也就是隐藏自己IP最好的方法

6月29日云栖精选夜读:Java、PHP、Python、JS 等开发者都如何绘制统计图

原文链接 目前很多程序员绘图基本上都是采用后端生成数据传递给前端,然后前端将数据渲染到绘图库上面进行显示,从而得到我们最后看到的各种图,但是有时候,我们发现需要传递的数据很多很多,那么这个时候如果将数据传递给前端进行分析并展示的话是非常慢的,所以有必要在后端进行各种统计图的生成,下面我们就来聊聊各种程序员都是怎么进行图制作的? 热点热议 Java.PHP.Python.JS 等开发者都如何绘制统计图 作者:琴瑟琵琶 程序员:感觉技术停滞时,该怎么办? 作者:琴瑟琵琶 Linux 之父 Linus

好系统教您WinXP系统桌面快捷方式打不开怎么办

相信很多用户常常为了方法操作都会将软件安装在桌面,这样正在桌面上就形成一个个快捷方式图标了,可是最近有很多winxp用户反映桌面快捷方式打不开了,这就让用户非常苦恼.那么遇到这个问题该如何解决呢?现在小编就为大家介绍winxp系统桌面快捷方式打不开的解决方法. 下载安装好应用程序之后一般在桌面上出现一个程序相应的图标,这也就是我们常说的桌面快捷方式,通过快捷方式我们可以快速的对程序进行访问操作,.但是有的朋友却会遇到电脑桌面的快捷方式无法打开程序的情况,而且人们并不会去刻意记住应用程序的安装位置

勒索病毒防护

1 概述 WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播.该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金.勒索金额为300至600美元.2017年5月14日

Windows勒索病毒防范、解决方法全攻略

[防御措施建议] 1.安装杀毒软件,保持安全防御功能开启,比如金山毒霸已可拦截(下载地址http://www.duba.net),微软自带的Windows Defender也可以. 2.打开Windows Update自动更新,及时升级系统. 微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的"永恒之蓝"漏洞,同时针对停止支持的Windows XP.Windows Server 2003.Windows 8也发布了专门的修复补丁. 最新版