NotPetya / Petya爆发比WannaCry更厉害 简单预防及应对策略教学
继早前肆虐全球的电脑勒索病毒WannaCry之后,新品种的勒索病毒NotPetya / Petya今日先后在欧洲及北美地区爆发,并影响了机场、银行等的终端机服务。由于新病毒使用跟WannaCry同样使用Windows的Eternalblue漏洞作传播途径,并且会利用Windows的网络安装功能感染同一个企业网络里面的其他电脑,所以现时正在快速传播当中。有研究员就发现透过一些设定,可以为电脑制作“疫苗”暂时堵截受感染的漏洞,以下就是简单的教学。
研究人员最初认为病毒是早前曾经出现的Petya病毒变种,但随后发现其程式码及传播方法分别有Petya及WannaCry的特点,现时多个不同的资讯科技保安机构分别将病毒以NotPetya、Petrwrap或GoldenEye等命名。而在Twitter上以Amit Serper(twitter@0xAmit)为首的一班科技保安研究员,就发现病毒现时的感染途径,是透过C:\Windows资料夹当中,一个命为perfc的档案去进行。而对电脑技术有基本认知的朋友,可以透过自行制作一个Read Only的perfc档,去暂时阻止病毒感染电脑(若病毒变种则无法阻止)。
阻止病毒感染电脑步骤(按下图详解)
须要提醒各位读者的是,这个方法只是暂时可以避免电脑受到NotPetya / Petya的感染,并非好像早前阻止WannaCry一样的Kill Switch,假若病毒出现变种的话,这个方法依然是于是无补。而电脑就算已经安装针对WannaCry而推出的更新档,堵截之前的Eternalblue漏洞(MS17-010),依然有机会受到NotPetya / Petya的感染,所以大家还是先跟著上面的做法,为电脑多加一重防御。
受感染电脑会透过WMI或PsExec攻击同一个网络系统的其他电脑,由于NotPetya / Petya有读紧电脑密码的能够,若果同事的电脑受到感染,自己的电脑未有设定或使用太简单的密码,都会更容易成为攻击目标。由于Petya并不会像WannaCry一样,在背景进行档案加密,而是以假扮Hang机,强制Reboot并假扮扫瞄修护硬碟,其实是将档案加密,所以用户发现电脑忽然出现“Windows will shut down in less than a minute”强制关机及进入扫瞄修护硬碟的程序,请在对方完成加密前关机,并等待公司的IT部门同事,以电脑原装的Boot CD进行备份及清理受感染档案的工作。
另外,网络保安公司BleepingComputer已经制作简单的安装档,让不熟悉电脑技术的朋友,可以简单完成以上的教学。
下载BleepingComputer制作perfc档案的安装档