新型勒索软件 Petya 开始全球爆发,别以为上次 Wannacry 事件电脑更新过就没事,这次 Petya 不只用了 SMBv1 漏动,更结合 Windows 网络安装弱点攻击。这里教 Windows 用户快速解决这重大危机。
有多少机会中招?
目前第一波虽未到上次 WannaCry 的强度但也不弱,目前英、美、法、德都有超过 2,000 台电脑感染、乌克兰国家银行及电力公司都中招。受害人想解锁硬盘需支付价值 300 美元的比特币,暂时已有 32 名受害者付费,总值大约 6,775 美元。
电脑有更新 / Win10 也中招
即使安装了 Eternalblue 漏洞(WannaCry)的修正档也一样中招,这是 Petya 最致命的地方。所以这次 Windows 10 用户也难逃一劫。
只要网络上有一台电脑忘记更新或修正 Windows 的 SMBv1 漏洞,这样 Petya 便会感染那台电脑然后再利用 Windows 客户端攻击(CVE-2017-0199),透过 WMIC 及 PSEXEC 在网络上的其他电脑进行安装 Petya 勒索软件,只要你的电脑密码是简单组合,就容易被攻破。
▲ ATM 也中招。
Windows 用户密码太容易被破解
Petya 内建工具懂得由 Windows 客户端及 Domain Controller 中偷取密码情报,由于公司电脑只用来处理公事,没有个人隐私下很多时候都忽略密码的重要性。很多人务求回到公司开机方便,都设定一些比较简单易记的密码,甚至没有设定。Petya 很容易就执行指令,直接透过网络安装到你的电脑上
Windows 突然 Reboot 强制加密
有别于 Wannacry,Petya 不会在背后偷偷加密你的档案,用户不会发觉电脑变慢。它中招后 1 小时内静静不动,然后强制 BSOD 当机 Reboot 进行加密硬盘的 MFT 及修改 MBR,整个过程超快,加密时会隐藏成扫描及修护硬盘,让用户不敢打断(这是 Windows 当机后常见的事),完成后整颗硬盘都不能再存取,连 Windows 都进不了,因此破坏力比 WannaCry 强。
中招过程:
Step 1:
中招后电脑当机 Reboot ,然后扮成扫描硬盘(一见到这画面请立即关机进行自救)。
Step 2:
然后会提示你解锁要付 300 美元的比特币,期间硬盘 MFT 被加密,不能进入 Windows 也不能安装到其他电脑上做档案存取。
预防方法 :
1. 更改使用复杂的 Windows 密码
如果上次 Wannacry 爆发时你没更新电脑,请立即进行更新 。另外,如果你没设登入密码或密码过于简单,请立即更改。
2. 预先制作 Petya Kill – Switch(必做)
跟 WannaCry 一样,Petya 也有自己的 Kill Switch 自杀停止运作 ,制作这个 Kill-Switch 非常简单,但暂时只能防止目前版本,有变种的话便无效(还是建议使用强密码)。
Step 1:
右按 Windows Logo,选择命令提示字元(系统管理员)。
Step 2:
输入以下指令,目的为了在 Windows 资料夹中(e.g C:\Windows)建立一个 perfc 、perfc.dll、perfc.dat 档。
cd..(按 Enter)
copy con perfc(按 Enter)
(按 Ctrl + Z)
(按 Enter)
copy perfc perfc.dll(按 Enter) copy perfc perfc.dat(按 Enter)
3. 安装 MBRFilter(危急才用)
Cisco 于上年写了一个叫 MBRFilter 的档案以防止硬盘的 Sector 0 写入, 这可以防止 Petya 更改 MBR 以进行加密。安装这个需要有一定的 IT 基础(连结)。
4. 关闭 WMI 服务(危急才用)
关闭了 Windows 的远端安装服务,防止 Petya 透过网络在你的电脑上安装(如果你电脑有使用 RDP 或其他远端管理工具,关闭 WMI 后有可能无法使用,Windows Security Center 也会受影响)。因此不建议长期关闭,只能当作暂停扩散之用。
Step 1:
右按 Windows Logo,选择命令提示字元(系统管理员)。
Step 2:
输入 net stop winmgmt b(其后可用 net start winmgmt 重新开启服务)
中招解决方法 :
发现电脑 Reboot 就关机,别等
由于 Petya 需要 Reboot 后才进行加密程序,所以电脑用户发现 Windows 突然当机无故重开的话,一看到 Windows Logo 就立即关机,然后使用开机光碟 Boot 机或把硬盘取出接到其他电脑进行清理、制作 Kill Switch、备份。如果你让它加密完成,你的电脑显示以下画面就暂时无法救回来了,要等待资安公司找出救援方案。
补充:Petya 不是 Petya?是新病毒
正当媒体及资安专家认为这个勒索软件是 Petya 的变种版本,Kaspersky Labs 表示,并非如此,是一种全新的病毒,只有部分 Strings 相近但执行方法不一样,Kaspersky Labs 暂时称这为 ExPetr、部分人叫做 NotPetya。
(本文由 Unwire HK 授权转载;首图来源:shutterstock)
延伸阅读:
- 全球勒索病毒攻势再起,Petya 变种更胜 WannaCry 漏洞更新恐失效