研究人員發(fā)現(xiàn)NotPetya勒索軟件“疫苗”:新建一個(gè)只讀文件即可預(yù)防

責(zé)任編輯:editor007

2017-06-28 16:08:45

摘自:cnBeta.COM

繼 WannaCry 之后,利用 NSA“永恒之藍(lán)”漏洞的新型 Petya 勒索軟件再次引爆了網(wǎng)絡(luò)。(2)其次,打開 C: Windows 文件夾,選中記事本(notepad exe)程序

繼 WannaCry 之后,利用 NSA“永恒之藍(lán)”漏洞的新型 Petya 勒索軟件再次引爆了網(wǎng)絡(luò)。萬幸的是,網(wǎng)絡(luò)安全人員 Amit Serper 已經(jīng)發(fā)現(xiàn)了預(yù)防計(jì)算機(jī)被 Petya(含 NotPetya / SortaPetya / Petna)感染的方法。據(jù)悉,Petya 會(huì)鎖定磁盤的 MFT 和 MBR 區(qū),導(dǎo)致計(jì)算機(jī)無法啟動(dòng)。除非受害者付費(fèi)解鎖(但目前并不推薦這么做),否則無法恢復(fù)他們的系統(tǒng)。

mbr-ransom-note.jpg

早前肆虐互聯(lián)網(wǎng)的 WannaCry 有個(gè)“自殺開關(guān)”,但 Petya 卻只能通過“疫苗”來預(yù)防。

Petya 爆發(fā)后,研究人員們蜂擁而上對(duì)其進(jìn)行分析,而 Serper 率先發(fā)現(xiàn) NotPetya 會(huì)搜索一個(gè)本地文件,如果磁盤上已經(jīng)存在,勒索軟件就會(huì)退出加密。

沒過多久,這一發(fā)現(xiàn)就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究機(jī)構(gòu)的證實(shí)。這意味著用戶可以在 PC 上創(chuàng)建一個(gè)只讀文件,即可封鎖 NotPetya 勒索軟件的執(zhí)行。

下面是 NotPetya“疫苗”的注射流程:

(1)首先,在 Windows 資源管理器中配置“顯示文件擴(kuò)展名”(文件夾選項(xiàng) -> 查看 -> 隱藏文件和文件夾 -> 顯示隱藏的文件、文件夾和驅(qū)動(dòng)器);

(2)其次,打開 C:Windows 文件夾,選中記事本程序,復(fù)制/粘貼一個(gè)它的副本。

 ?。?)執(zhí)行該操作時(shí),系統(tǒng)可能需要你賦予管理員權(quán)限。

  (4)繼續(xù)后,按 F2 將 notepad(副本).exe 重命名為 perfc 。

 ?。?)確認(rèn)變更文件夾和后綴名的操作,繼續(xù)后 右鍵選中 該文件,點(diǎn)擊 屬性 。

 ?。?)在彈出的文件屬性對(duì)話框中,將其設(shè)置為 只讀 。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)