ETH官方钱包

切換
舊版
前往
大廳
主題

Petya 病毒 防範方法。

Omen | 2017-07-01 16:00:50 | 巴幣 8 | 人氣 497

Petya 病毒介紹

據網絡安全公司 Comae 創辦人 Matt Suiche 表示,
經過分析 Petya 後,其團隊已經確認它並不是勒索軟件,
反而是一種清除軟件(wiper)。
留意 Petya 起初的確是一個勒索軟件,不過今次黑客使用的這個版本卻有點分別,
Comae 團隊發現其代碼已明顯經過特別修改,
因此其功能已由原先加密硬碟並要求贖金,變成了可以簡單地銷毀硬碟。

不過為何 Petya 表面上看起來仍是勒索軟件呢?
雖則暫時並沒有明確答案,
但 Suiche 指出黑客可能是想隱藏背後發動攻擊的真正目的,亦即是假扮勒索,
但實際上其實是想摧毀目標電腦內的資料。
----------------------------------------------------------------------------------------------------

傳染方式

根據賽門鐵克 (Symantec) 初步報告,
變種的 Petya 勒索軟體至少有透過微軟 (Microsoft) 的 MS17-010 漏洞 (又稱為 Eternal Blue)
來散播感染其他電腦,感染 Petya 的電腦檔案將會遭到加密,
與一般勒索病毒不同的是,Petya 還會竄改被感染電腦的主開機紀錄 (MBR)。

----------------------------------------------------------------------------------------------------

中毒現象

中毒後 電腦當機 重新啟動,病毒會 扮成 掃瞄硬碟 畫面 執行加密。
完成後提示你解鎖要付 300 美元的比特幣,期間硬碟 MFT 被加密,
不能進入 Windows 也不能安裝到其他電腦上做檔案存取。

----------------------------------------------------------------------------------------------------

手動防範

第一步:

對 " 命令提示字元 "  右鍵按 " 以系統管理員身分執行 "

第二步:
輸入: cd\windows (按 Enter)
輸入: copy con perfc(按 Enter)
按鍵: Ctrl + Z (按 Enter)
輸入: copy perfc perfc.dll(按 Enter)
輸入: copy perfc perfc.dat(按 Enter)

第三步:
系統磁碟 打開 C:Windows 資料夾,
找剛新增的 perfcperfc.dllperfc.dat 三個檔案。
(可調整 排列方式 建立日期 找當天創建)
找到後對三個檔案 右鍵內容,下方 屬性: " 唯讀 " 打勾 按 確定。


命令提示字元 過程說明:

1.建立perfc這個沒副檔名的空檔案。
2.複製perfc這個空檔案後,來建立名為perfc.dll的新檔案。
3.複製perfc這個空檔案後,來建立名為perfc.dat的新檔案。
跑完整個程序,在C:windows 裡,就會有perfc、perfc.dll、perfc.dat三個檔案。

(此防護只是讓病毒自爆,不保證能防變種)

----------------------------------------------------------------------------------------------------

其他防範

1. 未設有登入密碼或密碼過於簡單,請立即更改使用較複雜的 Windows 密碼。

2. 如上次 Wannacry 爆發時你未更新電腦,請立即進行 Windows 更新 。
(更新只限於正版 Windows 可使用,迷版更新後可能會造成破解失敗)

3. 關閉 Windows 遠端安裝服務,防止 Petya 透過網絡在你的電腦上安裝。
(如果你電腦有使用 RDP 或其他遠端管理工具,
關閉 WMI 後有機會不能使用,Windows Security Center 也會受影響)


關閉遠端服務方法

第一步:
對 " 命令提示字元 "  右鍵按 " 以系統管理員身分執行 "

第二步:
輸入: cd\windows\system32(按 Enter)
輸入: net stop winmgmt b (按 Enter)
(其後可用 net start winmgmt 重新開啟服務)

----------------------------------------------------------------------------------------------------

中毒處理

發現電腦當機重新,馬上強制關機 !


由於 Petya 需要重新啟動後才進行加密程序,
所以發現 Windows 突然 當機 無故重開 的話,就立即關機。
然後把硬碟取出接到其他電腦進行清理、製作 Kill Switch、備份。

如果你讓它加密完成,你的電腦顯示以下畫面就暫時無法救回來了,
要等待資安公司找出救援方案。

----------------------------------------------------------------------------------------------------

注意: 目前黑客的電郵帳號已被封鎖,即使支付贖金亦可能無補於事,請不要浪費錢去匯款。

創作回應

更多創作