Petya 病毒介紹
據網絡安全公司 Comae 創辦人 Matt Suiche 表示,
經過分析 Petya 後,其團隊已經確認它並不是勒索軟件,
反而是一種清除軟件(wiper)。
留意 Petya 起初的確是一個勒索軟件,不過今次黑客使用的這個版本卻有點分別,
Comae 團隊發現其代碼已明顯經過特別修改,
因此其功能已由原先加密硬碟並要求贖金,變成了可以簡單地銷毀硬碟。
不過為何 Petya 表面上看起來仍是勒索軟件呢?
雖則暫時並沒有明確答案,
但 Suiche 指出黑客可能是想隱藏背後發動攻擊的真正目的,亦即是假扮勒索,
但實際上其實是想摧毀目標電腦內的資料。
----------------------------------------------------------------------------------------------------
傳染方式
根據賽門鐵克 (Symantec) 初步報告,
變種的 Petya 勒索軟體至少有透過微軟 (Microsoft) 的 MS17-010 漏洞 (又稱為 Eternal Blue)
來散播感染其他電腦,感染 Petya 的電腦檔案將會遭到加密,
與一般勒索病毒不同的是,Petya 還會竄改被感染電腦的主開機紀錄 (MBR)。
據網絡安全公司 Comae 創辦人 Matt Suiche 表示,
經過分析 Petya 後,其團隊已經確認它並不是勒索軟件,
反而是一種清除軟件(wiper)。
留意 Petya 起初的確是一個勒索軟件,不過今次黑客使用的這個版本卻有點分別,
Comae 團隊發現其代碼已明顯經過特別修改,
因此其功能已由原先加密硬碟並要求贖金,變成了可以簡單地銷毀硬碟。
不過為何 Petya 表面上看起來仍是勒索軟件呢?
雖則暫時並沒有明確答案,
但 Suiche 指出黑客可能是想隱藏背後發動攻擊的真正目的,亦即是假扮勒索,
但實際上其實是想摧毀目標電腦內的資料。
----------------------------------------------------------------------------------------------------
傳染方式
根據賽門鐵克 (Symantec) 初步報告,
變種的 Petya 勒索軟體至少有透過微軟 (Microsoft) 的 MS17-010 漏洞 (又稱為 Eternal Blue)
來散播感染其他電腦,感染 Petya 的電腦檔案將會遭到加密,
與一般勒索病毒不同的是,Petya 還會竄改被感染電腦的主開機紀錄 (MBR)。
----------------------------------------------------------------------------------------------------
中毒現象
中毒後 電腦當機 重新啟動,病毒會 扮成 掃瞄硬碟 畫面 執行加密。
完成後提示你解鎖要付 300 美元的比特幣,期間硬碟 MFT 被加密,
不能進入 Windows 也不能安裝到其他電腦上做檔案存取。
----------------------------------------------------------------------------------------------------
手動防範
第一步:
對 " 命令提示字元 " 右鍵按 " 以系統管理員身分執行 "
第二步:
輸入: cd\windows (按 Enter)
輸入: cd\windows (按 Enter)
輸入: copy con perfc(按 Enter)
按鍵: Ctrl + Z (按 Enter)
輸入: copy perfc perfc.dll(按 Enter)
輸入: copy perfc perfc.dat(按 Enter)
輸入: copy perfc perfc.dat(按 Enter)
第三步:
系統磁碟 打開 C:Windows 資料夾,
找剛新增的 perfc、perfc.dll、perfc.dat 三個檔案。
系統磁碟 打開 C:Windows 資料夾,
找剛新增的 perfc、perfc.dll、perfc.dat 三個檔案。
(可調整 排列方式 建立日期 找當天創建)
找到後對三個檔案 右鍵 按 內容,下方 屬性: " 唯讀 " 打勾 按 確定。
命令提示字元 過程說明:
1.建立perfc這個沒副檔名的空檔案。
2.複製perfc這個空檔案後,來建立名為perfc.dll的新檔案。
3.複製perfc這個空檔案後,來建立名為perfc.dat的新檔案。
跑完整個程序,在C:windows 裡,就會有perfc、perfc.dll、perfc.dat三個檔案。
(此防護只是讓病毒自爆,不保證能防變種)
----------------------------------------------------------------------------------------------------
其他防範
1. 未設有登入密碼或密碼過於簡單,請立即更改使用較複雜的 Windows 密碼。
2. 如上次 Wannacry 爆發時你未更新電腦,請立即進行 Windows 更新 。
(更新只限於正版 Windows 可使用,迷版更新後可能會造成破解失敗)
3. 關閉 Windows 遠端安裝服務,防止 Petya 透過網絡在你的電腦上安裝。
(如果你電腦有使用 RDP 或其他遠端管理工具,
關閉 WMI 後有機會不能使用,Windows Security Center 也會受影響)
關閉遠端服務方法
第一步:
對 " 命令提示字元 " 右鍵按 " 以系統管理員身分執行 "
第二步:
輸入: cd\windows\system32(按 Enter)
輸入: net stop winmgmt b (按 Enter)
(其後可用 net start winmgmt 重新開啟服務)
----------------------------------------------------------------------------------------------------
1. 未設有登入密碼或密碼過於簡單,請立即更改使用較複雜的 Windows 密碼。
2. 如上次 Wannacry 爆發時你未更新電腦,請立即進行 Windows 更新 。
(更新只限於正版 Windows 可使用,迷版更新後可能會造成破解失敗)
3. 關閉 Windows 遠端安裝服務,防止 Petya 透過網絡在你的電腦上安裝。
(如果你電腦有使用 RDP 或其他遠端管理工具,
關閉 WMI 後有機會不能使用,Windows Security Center 也會受影響)
關閉遠端服務方法
第一步:
對 " 命令提示字元 " 右鍵按 " 以系統管理員身分執行 "
第二步:
輸入: cd\windows\system32(按 Enter)
輸入: net stop winmgmt b (按 Enter)
(其後可用 net start winmgmt 重新開啟服務)
----------------------------------------------------------------------------------------------------
中毒處理
發現電腦當機重新,馬上強制關機 !
由於 Petya 需要重新啟動後才進行加密程序,
所以發現 Windows 突然 當機 無故重開 的話,就立即關機。
發現電腦當機重新,馬上強制關機 !
由於 Petya 需要重新啟動後才進行加密程序,
所以發現 Windows 突然 當機 無故重開 的話,就立即關機。
然後把硬碟取出接到其他電腦進行清理、製作 Kill Switch、備份。
如果你讓它加密完成,你的電腦顯示以下畫面就暫時無法救回來了,
要等待資安公司找出救援方案。
----------------------------------------------------------------------------------------------------
如果你讓它加密完成,你的電腦顯示以下畫面就暫時無法救回來了,
要等待資安公司找出救援方案。
----------------------------------------------------------------------------------------------------
注意: 目前黑客的電郵帳號已被封鎖,即使支付贖金亦可能無補於事,請不要浪費錢去匯款。
