【Petya病毒爆发】比WannaCry更强:Windows10也中招!教你预防、删除、修复方法By UnwireHK

0
Blood2

新型勒索软件 Petya 开始全球爆发,别以为上次 Wannacry 事件电脑更新过就没事,今次 Petya 不止用了 SMBv1 漏动,更结合 Windows 网络安装弱点去攻击。 Zing合作伙伴 — UnwireHK 教各位Windows 用户快速解决这重大危机。

 

有多少机会中招 ?

目前第一波虽未及上次 WannaCry 强劲但也不弱,目前英、美、法德都有超过 2,000 电脑感染报告、乌克兰国家银行及电力公司都中招。受害人想解锁硬碟需支付价值 $300 美元的 BITCOIN ,暂时已有 32 位受害者付费,总值大约 $6,775 美元。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 06 28 %E4%B8%8A%E5%8D%886.56.20

 

电脑有更新 / Win10 也中招

即使安装了 Eternalblue 漏洞 (WannaCry) 的修正档亦一样中招,这是 Petya 最致命的地方。所以今次 Windows 10 用家也难逃一劫。

香港公司电脑成高危,只要网络上有一台机忘记更新或修正 Windows 的 SMBv1 漏洞,这样 Petya 便会感染那部电脑然后再利用 Windows 客户端攻击 (CVE-2017-0199) ,透过 WMIC 及 PSEXEC在网络上的其他电脑进行安装 Petya 勒索软件,只要你的电脑密码是简单组合的话,就容易被攻破。

DDWV8dmUwAAyNMq.jpg large

外国有公司 Network 全 down 去解決。

 

DDVzFTAW0AEzo84.jpg large

ATM 也中招。

 

Windows 用户密码太易撞破

Petya 内置工具懂得由 Windows 客户端及 Domain Controller 中偷取密码情报,再加上很多香港公司的打工仔,由于公司电脑只作公事之用,没有个人私隐下很多时都忽略密码的重要性。很多人务求回到公司开机方便,都设定一些比较简单易记的密码,甚至没有设定。Petya 很容易就执行指令,直接透过网络安装到你的电脑上。 Chairman of Professional Information Security Association – Eric Fan 先生就建议用户切勿在Domain Controller 或使用Domain Administrator 去开啓来历不明的档案。

Windows 突然 Reboot 强制加密

有别于 Wannacry ,Petya 不会在背后偷偷加密你的档案,用户不为发觉电脑变慢。它中招后一小时内静静不动,然后强制 BSOD Hang 机 Reboot 进行加密硬碟的 MFT 及修改 MBR,整个过程超快而且古惑 ! 加密时会装扮成扫瞄及修护硬碟,让用户不敢打断(这是 Windows Hang 机后常见的事..) 完成后整颗硬碟都不能再取存,连 Windows 都进不到。因此破坏力比 WannaCry 强。,连 Windows 都进不到。因此破坏力比 WannaCry 强。

 

中招过程 :

Step 1 :

中招后电脑 Hang 机 Reboot ,然后扮扫瞄硬碟 (一见这画面立即关机)

shutdown1

 

Step 2 :

然后会提示你解锁要付 $300 美金的 bitcoin,期间硬碟 MFT 被加密,不能进入 Windows 亦不能安装到其他电脑上作档案取存。

DDVdXr6V0AA2D Y

 

预防方法 :

1.更改使用複杂的 Windows 密码

如上次 Wannacry 爆发时你未更新电脑,请立即进行更新 。另外如果你未设有登入密码或密码过于简单,请立即更改。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 06 28 %E4%B8%8A%E5%8D%886.53.05

 

2. 预先制作 Petya Kill – Switch (必做)

跟 WannaCry 一样,Petya 也有自己的 Kill-Switch 自杀停止运作 ,制作这个 KILL Switch 非常简单,但暂时只能防止目前版本,有变种的话便无效 (还是建议使用强密码)。

DDWa2r8W0AMdxNm

 

Step 1:

右按 Windows Logo,选择命令提示字元 (系统管理员 )

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 06 28 %E4%B8%8A%E5%8D%886.58.38

Step 2:

输入以下指令,目的为了在 Windows 资料夹中 (e.g C:\Windows) 建立一个 perfc 、perfc.dll、perfc.dat 档。

  • cd.. (按 Enter)
  • copy con perfc (按 Enter)
  • (按 Ctrl + Z )
  • (按 Enter)
  • copy perfc perfc.dll (按 Enter)
    copy perfc perfc.dat (按 Enter)

unwire01%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 06 28 %E4%B8%8A%E5%8D%8810.26.09

 

3. 安装 MBRFilter (危急才用)

Cisco 于上年写了一个叫 MBRFilter 的档案以防止硬碟的 Sector 0 写入, 这可以防止 Petya 更改 MBR 以进行加密。安装这个需要有一定的 IT 基础。<连结>

3. 关闭 WMI 服务 (危急才用)

关闭了 Windows 的远端安装服务,防止 Petya 透过网络在你的电脑上安装 (如果你电脑有使用 RDP 或其他远端管理工具,关闭 WMI 后有机会不能使用,Windows Security Center 也会受影响)。因此小编不建议长期关闭,只能作 IT 人在用家未回到公司前,暂停扩散之用。

Step 1 :

右按 Windows Logo,选择命令提示字元 (系统管理员 )

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 06 28 %E4%B8%8A%E5%8D%886.58.38

Step 2 :

输入 net stop winmgmt b(其后可用 net start winmgmt 重新开启服务)

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 06 28 %E4%B8%8A%E5%8D%886.59.41

 

中招解决方法 

发现电脑 Reboot 即关机,别等!

由于 Petya 需要 Reboot 后才进行加密程序,所以电脑用户发现 Windows 突然 Hang 机无故重启的话,一看到 Windows Logo 便立即关机。然后使用 Live CD Boot 机或把硬碟取出接驳到其他电脑进行清理/製作 Kill Switch / 备份。如果你让它加密完成的话,你的电脑会显示以下画面就暂时无法救回来了,要等待保安公司找出救援方案。

1

一 Reboot 或见到Windows Logo 立即关机不要让它加密。关机后 File 在硬碟是安全的,只要不启动让它再进行加密。

DDVdXr6V0AA2D Y

假若加密完成,就无法取存硬碟。

 

补充 : Petya 不是 Petya ? 是新病毒

正当传媒及保安专家认为是次勒索软件是 Petya 的变种版本,Kaspersky Labs 表示这并非如此,是一种全新的病毒,只有部份 Strings 相近但运行方法是不一样,Kaspersky Labs 暂叫这作 ExPetr、部份人叫作是 NotPetya。

(本文授权转载自UnwireHK)

 

 

更多Zing彩:

本文:

【Petya病毒爆发】比WannaCry更强:Windows10也中招!教你预防、删除、修复方法By UnwireHK

更多精彩科技资讯,请留守 Zing Gadget 或 FacebookTwitterGoogle+ 以及YouTube

Source :

About author

kar yan

即使活在黑洞,我也要挥着荧光棒。

订阅
通知
guest

0 Comments
内联反馈
查看所有评论
0
希望听到您的想法,请评论x