继wannacry之后,Petya勒索病毒攻击再次席卷全球,给欧洲各国政府、银行、电力系统、通信系统、企业和机场造成了分歧,俄罗斯等国的影响程度。研究发现,Petya会锁定磁盘的MFT和MBR区域,导致计算机无法启动。除非受害者支付赎金解锁,否则无法恢复他们的系统。不过在之前的wannacry勒索事件发生时,阿里聚安全就建议大家不要支付赎金。一方面,支付赎金后可能无法找回数据,其次,赎金会进一步刺激攻击者利用漏洞,升级??攻击手段。好消息是,Cyber??eason安全研究员AmitSerper找到了一种方法,可以一劳永逸地防止Petya(notpetya/sortapetya/petna)勒索软件感染计算机!研究人员蜂拥而至寻找killswitch机制。Petya一爆发,国内外安全研究人员蜂拥而至分析。起初,他们认为Petya只不过是新瓶装旧酒,类似于其他勒索软件。但在进一步研究中,他们发现这是一种全新的勒索软件蠕虫。因此它的名字逐渐从Petya改为Notpetya、Petna和SortaPetya。研究人员分析勒索病毒的运行机制后发现,NotPetya会搜索本地文件,如果磁盘上已经存在该文件,勒索病毒就会退出加密。这意味着受害者只需要在他们的计算机上创建此文件并将其设置为只读即可成功阻止Notpetya勒索软件的执行。这种方法无法阻止勒索病毒的运行,因为它就像是注射疫苗,让设备免疫病毒的攻击,而不是杀死病毒。它使受害者一劳永逸地免受勒索软件感染。这一发现得到了PTSecurity、TrustedSec和Emsisoft等安全研究组织的证实。如何注入Notpetya//Petna/Petya疫苗批量创建方法,适合运维管理在C盘Windows文件夹下创建一个perfc文件,设置为只读。对于想要快速创建文件的人,LawrenceAbrams演示了批量创建文件的步骤。请注意,批量创建文件时需要创建perfc.dat和perfc.dll这两个文件。批量文件处理工具下载地址:https://download.bleepingcomp...手动创建方法,适合个人1、首先,在Windows资源管理器中去掉“隐藏已知文件类型的扩展名”的勾选(文件夹选项->查看->隐藏已知文件类型的扩展名)2.打开C:Windows文件夹,选择记事本(notepad.exe)程序,复制并粘贴一个副本。粘贴文件时可能需要授予管理员权限。3.重命名notepad(copy).exe为perfc,记得去掉扩展名。4、右击选择文件,点击属性,在弹出的文件属性对话框中,设置为“只读”。创建文件后,建议在C盘Windows文件夹下创建perfc.dat和perfc。dll。本方法来自bleepingcomputer,原文地址:https://www.bleepingcomputer....阿里巴巴安全编译,更多安全热点和知识分享,请关注阿里巴巴安全官方博客
