新型勒索软体Petya开始全球爆发,别以为上次Wannacry事件电脑更新过就没事,这次Petya不只用了SMBv1漏动,更结合Windows网络安装弱点攻击。这里教Windows用户快速解决这重大危机。
有多少机会中招?
目前第一波虽未到上次WannaCry的强度但也不弱,目前英、美、法、德都有超过2,000台电脑感染、乌克兰国家银行及电力公司都中招。受害人想解锁硬碟需支付价值300美元的比特币,暂时已有32名受害者付费,总值大约6,775美元。
电脑有更新/Win10也中招
即使安装了Eternalblue漏洞(WannaCry)的修正档也一样中招,这是Petya最致命的地方。所以这次Windows 10用户也难逃一劫。
只要网络上有一台电脑忘记更新或修正Windows的SMBv1漏洞,这样Petya便会感染那台电脑然后再利用Windows客户端攻击(CVE-2017-0199),透过WMIC 及PSEXEC 在网络上的其他电脑进行安装Petya勒索软体,只要你的电脑密码是简单组合,就容易被攻破。
▲ ATM也中招。
Windows用户密码太容易被破解
Petya内建工具懂得由Windows 客户端及Domain Controller 中偷取密码情报,由于公司电脑只用来处理公事,没有个人隐私下很多时候都忽略密码的重要性。很多人务求回到公司开机方便,都设定一些比较简单易记的密码,甚至没有设定。Petya 很容易就执行指令,直接透过网络安装到你的电脑上
Windows突然Reboot强制加密
有别于Wannacry,Petya不会在背后偷偷加密你的档案,用户不会发觉电脑变慢。它中招后1 小时内静静不动,然后强制BSOD当机Reboot进行加密硬碟的MFT及修改MBR,整个过程超快,加密时会隐藏成扫瞄及修护硬碟,让用户不敢打断(这是Windows当机后常见的事),完成后整颗硬碟都不能再存取,连Windows都进不了,因此破坏力比WannaCry 强。
中招过程:
Step 1:
中招后电脑当机Reboot ,然后扮成扫瞄硬碟(一见到这画面请立即关机进行自救)。
Step 2:
然后会提示你解锁要付300美元的比特币,期间硬碟MFT被加密,不能进入Windows也不能安装到其他电脑上做档案存取。
预防方法 :
1. 更改使用复杂的Windows 密码
如果上次Wannacry 爆发时你没更新电脑,请立即进行更新。另外,如果你没设登入密码或密码过于简单,请立即更改。
2. 预先制作Petya Kill – Switch(必做)
跟WannaCry 一样,Petya 也有自己的Kill Switch 自杀停止运作,制作这个Kill-Switch 非常简单,但暂时只能防止目前版本,有变种的话便无效(还是建议使用强密码)。
Step 1:
右按Windows Logo,选择命令提示字元(系统管理员)。
Step 2:
输入以下指令,目的为了在Windows 资料夹中(eg C:\Windows)建立一个perfc 、perfc.dll、perfc.dat 档。
cd..(按Enter)
copy con perfc(按Enter)
(按Ctrl + Z)
(按Enter)
copy perfc perfc.dll(按Enter)
copy perfc perfc.dat(按Enter)
3. 安装MBRFilter(危急才用)
Cisco于上年写了一个叫MBRFilter的档案以防止硬碟的Sector 0写入,这可以防止Petya更改MBR以进行加密。安装这个需要有一定的IT基础。
4. 关闭WMI 服务(危急才用)
关闭了Windows 的远端安装服务,防止Petya 透过网络在你的电脑上安装(如果你电脑有使用RDP 或其他远端管理工具,关闭WMI 后有可能无法使用,Windows Security Center 也会受影响) 。因此不建议长期关闭,只能当作暂停扩散之用。
Step 1:
右按Windows Logo,选择命令提示字元(系统管理员)。
Step 2:
输入net stop winmgmt b(其后可用net start winmgmt重新开启服务)
中招解决方法 :
发现电脑Reboot 就关机,别等
由于Petya需要Reboot后才进行加密程序,所以电脑用户发现Windows突然当机无故重开的话,一看到Windows Logo就立即关机,然后使用开机光碟Boot机或把硬碟取出接到其他电脑进行清理、制作Kill Switch、备份。如果你让它加密完成,你的电脑显示以下画面就暂时无法救回来了,要等待资安公司找出救援方案。
一Reboot 或看到Windows Logo 立即关机不要让它加密。关机后档案在硬碟是安全的,只要不启动让它再进行加密。
▲假若加密完成,就无法取存硬碟。
补充:Petya 不是Petya?是新病毒
正当媒体及资安专家认为这个勒索软体是Petya 的变种版本,Kaspersky Labs 表示,并非如此,是一种全新的病毒,只有部分Strings 相近但执行方法不一样,Kaspersky Labs 暂时称这为ExPetr、部分人叫做NotPetya。
