Petya 病毒全球爆發 Windows 受害者上升中,預防自救看這裡!

作者 | 發布日期 2017 年 06 月 28 日 12:46 | 分類 網路 , 資訊安全 follow us in feedly

新型勒索軟體 Petya 開始全球爆發,別以為上次 Wannacry 事件電腦更新過就沒事,這次 Petya 不只用了 SMBv1 漏動,更結合 Windows 網路安裝弱點攻擊。這裡教 Windows 用戶快速解決這重大危機。



有多少機會中招?

目前第一波雖未到上次 WannaCry 的強度但也不弱,目前英、美、法、德都有超過 2,000 台電腦感染、烏克蘭國家銀行及電力公司都中招。受害人想解鎖硬碟需支付價值 300 美元的比特幣,暫時已有 32 名受害者付費,總值大約 6,775 美元。

電腦有更新 / Win10 也中招

即使安裝了 Eternalblue 漏洞(WannaCry)的修正檔也一樣中招,這是 Petya 最致命的地方。所以這次 Windows 10 用戶也難逃一劫。

只要網路上有一台電腦忘記更新或修正 Windows 的 SMBv1 漏洞,這樣 Petya 便會感染那台電腦然後再利用 Windows 客戶端攻擊(CVE-2017-0199),透過 WMIC 及 PSEXEC 在網路上的其他電腦進行安裝 Petya 勒索軟體,只要你的電腦密碼是簡單組合,就容易被攻破。

▲ ATM 也中招。

Windows 用戶密碼太容易被破解

Petya 內建工具懂得由 Windows 客戶端及 Domain Controller 中偷取密碼情報,由於公司電腦只用來處理公事,沒有個人隱私下很多時候都忽略密碼的重要性。很多人務求回到公司開機方便,都設定一些比較簡單易記的密碼,甚至沒有設定。Petya 很容易就執行指令,直接透過網路安裝到你的電腦上

Windows 突然 Reboot 強制加密

有別於 Wannacry,Petya 不會在背後偷偷加密你的檔案,用戶不會發覺電腦變慢。它中招後 1 小時內靜靜不動,然後強制 BSOD 當機 Reboot 進行加密硬碟的 MFT 及修改 MBR,整個過程超快,加密時會隱藏成掃瞄及修護硬碟,讓用戶不敢打斷(這是 Windows 當機後常見的事),完成後整顆硬碟都不能再存取,連 Windows 都進不了,因此破壞力比 WannaCry 強。

中招過程:

Step 1:

中招後電腦當機 Reboot ,然後扮成掃瞄硬碟(一見到這畫面請立即關機進行自救)。

Step 2:

然後會提示你解鎖要付 300 美元的比特幣,期間硬碟 MFT 被加密,不能進入 Windows 也不能安裝到其他電腦上做檔案存取

預防方法 :

1. 更改使用複雜的 Windows 密碼

如果上次 Wannacry 爆發時你沒更新電腦,請立即進行更新 。另外,如果你沒設登入密碼或密碼過於簡單,請立即更改。

2. 預先製作 Petya Kill – Switch(必做)

跟 WannaCry 一樣,Petya 也有自己的 Kill Switch 自殺停止運作 ,製作這個 Kill-Switch 非常簡單,但暫時只能防止目前版本,有變種的話便無效(還是建議使用強密碼)。

Step 1:

右按 Windows Logo,選擇命令提示字元(系統管理員)。

Step 2:

輸入以下指令,目的為了在 Windows 資料夾中(e.g C:\Windows)建立一個 perfc 、perfc.dll、perfc.dat 檔。

cd..(按 Enter)

copy con perfc(按 Enter)

(按 Ctrl + Z)

(按 Enter)

copy perfc perfc.dll(按 Enter)
copy perfc perfc.dat(按 Enter)

3. 安裝 MBRFilter(危急才用)

Cisco 於上年寫了一個叫 MBRFilter 的檔案以防止硬碟的 Sector 0 寫入, 這可以防止 Petya 更改 MBR 以進行加密。安裝這個需要有一定的 IT 基礎(連結)

4. 關閉 WMI 服務(危急才用)

關閉了 Windows 的遠端安裝服務,防止 Petya 透過網路在你的電腦上安裝(如果你電腦有使用 RDP 或其他遠端管理工具,關閉 WMI 後有可能無法使用,Windows Security Center 也會受影響)。因此不建議長期關閉,只能當作暫停擴散之用。

Step 1:

右按 Windows Logo,選擇命令提示字元(系統管理員)。

Step 2:

輸入 net stop winmgmt b(其後可用 net start winmgmt 重新開啟服務)

中招解決方法 :

發現電腦 Reboot 就關機,別等

由於 Petya 需要 Reboot 後才進行加密程序,所以電腦用戶發現 Windows 突然當機無故重開的話,一看到 Windows Logo 就立即關機,然後使用開機光碟 Boot 機或把硬碟取出接到其他電腦進行清理、製作 Kill Switch、備份。如果你讓它加密完成,你的電腦顯示以下畫面就暫時無法救回來了,要等待資安公司找出救援方案。

一 Reboot 或看到 Windows Logo 立即關機不要讓它加密。關機後檔案在硬碟是安全的,只要不啟動讓它再進行加密。

▲ 假若加密完成,就無法取存硬碟。(Source:@0xAmit

補充:Petya 不是 Petya?是新病毒

正當媒體及資安專家認為這個勒索軟體是 Petya 的變種版本,Kaspersky Labs 表示,並非如此,是一種全新的病毒,只有部分 Strings 相近但執行方法不一樣,Kaspersky Labs 暫時稱這為 ExPetr、部分人叫做 NotPetya。

(本文由 Unwire HK 授權轉載;首圖來源:shutterstock)

延伸閱讀: