安全路透社
当前位置:安全路透社 > 网络转载 > 正文

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

Petya勒索程序当前正在全球范围内肆虐,锁定硬盘MFT和MBR,阻止计算机启动,并以此对受害者进行勒索。就勒索程序的尿性来看,除非受害者支付赎金,否则是很难对系统进行恢复的。

全球的安全人员都在寻找Petya的软肋,比如说是否有像先前WannaCry那样的Kill Switch能够阻止其扩散。而来自Cybereason的安全研究人员Amit Serper最先找到阻止Petya持续感染计算机的方法。

值得一提的是,这次的Petya勒索程序实际上是个变种,从早前的Petya中借用了部分代码。所以国外的某些研究人员将其称为NotPetya、Petna或者SortaPetya。以下这些称呼可能会混用。

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

找到一个类似KillSwitch的机制

研究人员针对Petya的主要研究方向除了期望找到加密环节中的弱点之外,就是想找个类似WannaCry的KillSwitch那样的机制了。Serper在对其进行分析后发现NotPetya会首先搜索某个本地文件,如果说该文件存在,则退出加密过程。

这个发现也已经得到了其它安全研究人员和安全企业的确认,如PT SecurityTrustedSec和Emsisoft。

也就是说,用户只要在PC之上建立该文件,并将权限设为只读,就能阻止NotPetya勒索程序执行了。这么看来,此机制其实更像是“疫苗”,而非“Kill Switch”开关,因为每个用户都需要自己去建立该文件,而不像WannaCry的Kill Switch那样是统一一个“开关”。

究竟如何让你的计算机免疫Petya?

要让你的计算机对NotPetya免疫,只需要在 C:\Windows 文件夹下建立名为 perfc 的文件,并将其设为“只读”即可。

如果你很懒,那么可以直接执行下载这个批处理文件:https://download.bleepingcomputer.com/bats/nopetyavac.bat (来源:BleepingComputer)

当然你也可以手动完成此过程,过程如下,这个教程整体还是比较弱智的,如果你已经是个老手,那么想必可以自己操作:

1.首先要设置让Windows系统显示文件扩展名。在控制面板 – 文件夹选项 – 视图选项卡中,找到“隐藏已知文件类型的扩展名”,将前面的勾去掉;

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

2.随后在文件管理器中打开 C:\Windows 文件夹(应该是Windows系统文件夹,请按照各位自己的安装路径来选择),找到 notepad.exe 程序。

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

3.选择 notepad.exe 程序,键盘之上敲击 Ctrl + C(复制操作),随后 Ctrl + V(粘贴)。

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

4.在执行粘贴操作时,系统会询问是否授权,点击“继续”按钮,文件就会创建为 “notepad – 副本.exe”。然后将该文件重命名为”perfc”(不包含引号),如下图所示。

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

这个过程可能会弹出修改扩展名的确认对话框,选择“是”即可;此后可能还会有对话框弹出要求权限,点击“继续”即可。

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

5.这样一来,perfc文件就建好了。最后一步要将该文件设为只读,方法也很简单。右键点击这个文件,选择右键菜单中的“属性”。

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

6.在属性窗口中,将通用选项卡中最下方的“只读”选项打勾。点击应用、确认按钮即可。

研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

* 参考来源:BleepingComputer,欧阳洋葱编译

未经允许不得转载:安全路透社 » 研究人员发现Petya勒索程序“疫苗”,手把手教你免疫Petya

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册