欢迎光临GGAMen游戏资讯




Petya 病毒全球爆发 Windows 受害者上升中,预防自救看这里!

2024-12-25 207

新型勒索软件 Petya 开始全球爆发,别以为上次 Wannacry 事件电脑更新过就没事,这次 Petya 不只用了 SMBv1 漏动,更结合 Windows 网络安装弱点攻击。这里教 Windows 用户快速解决这重大危机。

有多少机会中招?

目前第一波虽未到上次 WannaCry 的强度但也不弱,目前英、美、法、德都有超过 2,000 台电脑感染、乌克兰国家银行及电力公司都中招。受害人想解锁硬盘需支付价值 300 美元的比特币,暂时已有 32 名受害者付费,总值大约 6,775 美元。

电脑有更新 / Win10 也中招

即使安装了 Eternalblue 漏洞(WannaCry)的修正档也一样中招,这是 Petya 最致命的地方。所以这次 Windows 10 用户也难逃一劫。

只要网络上有一台电脑忘记更新或修正 Windows 的 SMBv1 漏洞,这样 Petya 便会感染那台电脑然后再利用 Windows 客户端攻击(CVE-2017-0199),透过 WMIC 及 PSEXEC 在网络上的其他电脑进行安装 Petya 勒索软件,只要你的电脑密码是简单组合,就容易被攻破。

▲ ATM 也中招。

Windows 用户密码太容易被破解

Petya 内建工具懂得由 Windows 客户端及 Domain Controller 中偷取密码情报,由于公司电脑只用来处理公事,没有个人隐私下很多时候都忽略密码的重要性。很多人务求回到公司开机方便,都设定一些比较简单易记的密码,甚至没有设定。Petya 很容易就执行指令,直接透过网络安装到你的电脑上

Windows 突然 Reboot 强制加密

有别于 Wannacry,Petya 不会在背后偷偷加密你的档案,用户不会发觉电脑变慢。它中招后 1 小时内静静不动,然后强制 BSOD 当机 Reboot 进行加密硬盘的 MFT 及修改 MBR,整个过程超快,加密时会隐藏成扫描及修护硬盘,让用户不敢打断(这是 Windows 当机后常见的事),完成后整颗硬盘都不能再存取,连 Windows 都进不了,因此破坏力比 WannaCry 强。

中招过程:

Step 1:

中招后电脑当机 Reboot ,然后扮成扫描硬盘(一见到这画面请立即关机进行自救)。

Step 2:

然后会提示你解锁要付 300 美元的比特币,期间硬盘 MFT 被加密,不能进入 Windows 也不能安装到其他电脑上做档案存取

预防方法 :

1. 更改使用复杂的 Windows 密码

如果上次 Wannacry 爆发时你没更新电脑,请立即进行更新 。另外,如果你没设登入密码或密码过于简单,请立即更改。

2. 预先制作 Petya Kill – Switch(必做)

跟 WannaCry 一样,Petya 也有自己的 Kill Switch 自杀停止运作 ,制作这个 Kill-Switch 非常简单,但暂时只能防止目前版本,有变种的话便无效(还是建议使用强密码)。

Step 1:

右按 Windows Logo,选择命令提示字元(系统管理员)。

Step 2:

输入以下指令,目的为了在 Windows 资料夹中(e.g C:\Windows)建立一个 perfc 、perfc.dll、perfc.dat 档。

cd..(按 Enter)

copy con perfc(按 Enter)

(按 Ctrl + Z)

(按 Enter)

copy perfc perfc.dll(按 Enter) copy perfc perfc.dat(按 Enter)

3. 安装 MBRFilter(危急才用)

Cisco 于上年写了一个叫 MBRFilter 的档案以防止硬盘的 Sector 0 写入, 这可以防止 Petya 更改 MBR 以进行加密。安装这个需要有一定的 IT 基础(连结)。

4. 关闭 WMI 服务(危急才用)

关闭了 Windows 的远端安装服务,防止 Petya 透过网络在你的电脑上安装(如果你电脑有使用 RDP 或其他远端管理工具,关闭 WMI 后有可能无法使用,Windows Security Center 也会受影响)。因此不建议长期关闭,只能当作暂停扩散之用。

Step 1:

右按 Windows Logo,选择命令提示字元(系统管理员)。

Step 2:

输入 net stop winmgmt b(其后可用 net start winmgmt 重新开启服务)

中招解决方法 :

发现电脑 Reboot 就关机,别等

由于 Petya 需要 Reboot 后才进行加密程序,所以电脑用户发现 Windows 突然当机无故重开的话,一看到 Windows Logo 就立即关机,然后使用开机光碟 Boot 机或把硬盘取出接到其他电脑进行清理、制作 Kill Switch、备份。如果你让它加密完成,你的电脑显示以下画面就暂时无法救回来了,要等待资安公司找出救援方案。

一 Reboot 或看到 Windows Logo 立即关机不要让它加密。关机后档案在硬盘是安全的,只要不启动让它再进行加密。

▲ 假若加密完成,就无法取存硬盘。(Source:@0xAmit

补充:Petya 不是 Petya?是新病毒

正当媒体及资安专家认为这个勒索软件是 Petya 的变种版本,Kaspersky Labs 表示,并非如此,是一种全新的病毒,只有部分 Strings 相近但执行方法不一样,Kaspersky Labs 暂时称这为 ExPetr、部分人叫做 NotPetya。

(本文由 Unwire HK 授权转载;首图来源:shutterstock)

延伸阅读:

  • 全球勒索病毒攻势再起,Petya 变种更胜 WannaCry 漏洞更新恐失效
2019-03-21 00:30:00

标签:   游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯 资讯头条 游戏头条 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 ggamen游戏财经 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 资讯头条 游戏头条
0