繼 WannaCry 之后,利用 NSA“永恒之藍(lán)”漏洞的新型 Petya 勒索軟件再次引爆了網(wǎng)絡(luò)。萬幸的是,網(wǎng)絡(luò)安全人員 Amit Serper 已經(jīng)發(fā)現(xiàn)了預(yù)防計(jì)算機(jī)被 Petya(含 NotPetya / SortaPetya / Petna)感染的方法。據(jù)悉,Petya 會(huì)鎖定磁盤的 MFT 和 MBR 區(qū),導(dǎo)致計(jì)算機(jī)無法啟動(dòng)。除非受害者付費(fèi)解鎖(但目前并不推薦這么做),否則無法恢復(fù)他們的系統(tǒng)。
早前肆虐互聯(lián)網(wǎng)的 WannaCry 有個(gè)“自殺開關(guān)”,但 Petya 卻只能通過“疫苗”來預(yù)防。
Petya 爆發(fā)后,研究人員們蜂擁而上對(duì)其進(jìn)行分析,而 Serper 率先發(fā)現(xiàn) NotPetya 會(huì)搜索一個(gè)本地文件,如果磁盤上已經(jīng)存在,勒索軟件就會(huì)退出加密。
沒過多久,這一發(fā)現(xiàn)就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究機(jī)構(gòu)的證實(shí)。這意味著用戶可以在 PC 上創(chuàng)建一個(gè)只讀文件,即可封鎖 NotPetya 勒索軟件的執(zhí)行。
下面是 NotPetya“疫苗”的注射流程:
(1)首先,在 Windows 資源管理器中配置“顯示文件擴(kuò)展名”(文件夾選項(xiàng) -> 查看 -> 隱藏文件和文件夾 -> 顯示隱藏的文件、文件夾和驅(qū)動(dòng)器);
(2)其次,打開 C:Windows 文件夾,選中記事本程序,復(fù)制/粘貼一個(gè)它的副本。
?。?)執(zhí)行該操作時(shí),系統(tǒng)可能需要你賦予管理員權(quán)限。
(4)繼續(xù)后,按 F2 將 notepad(副本).exe 重命名為 perfc 。
?。?)確認(rèn)變更文件夾和后綴名的操作,繼續(xù)后 右鍵選中 該文件,點(diǎn)擊 屬性 。
?。?)在彈出的文件屬性對(duì)話框中,將其設(shè)置為 只讀 。