NotPetya / Petya爆發比WannaCry更厲害 簡單預防及應對策略教學
繼早前肆虐全球的電腦勒索病毒WannaCry之後,新品種的勒索病毒NotPetya / Petya今日先後在歐洲及北美地區爆發,並影響了機場、銀行等的終端機服務。由於新病毒使用跟WannaCry同樣使用Windows的Eternalblue漏洞作傳播途徑,並且會利用Windows的網絡安裝功能感染同一個企業網絡裡面的其他電腦,所以現時正在快速傳播當中。有研究員就發現透過一些設定,可以為電腦製作「疫苗」暫時堵截受感染的漏洞,以下就是簡單的教學。
研究人員最初認為病毒是早前曾經出現的Petya病毒變種,但隨後發現其程式碼及傳播方法分別有Petya及WannaCry的特點,現時多個不同的資訊科技保安機構分別將病毒以NotPetya、Petrwrap或GoldenEye等命名。而在Twitter上以Amit Serper(twitter@0xAmit)為首的一班科技保安研究員,就發現病毒現時的感染途徑,是透過C:\Windows資料夾當中,一個命為perfc的檔案去進行。而對電腦技術有基本認知的朋友,可以透過自行製作一個Read Only的perfc檔,去暫時阻止病毒感染電腦(若病毒變種則無法阻止)。
阻止病毒感染電腦步驟(按下圖詳解)
須要提醒各位讀者的是,這個方法只是暫時可以避免電腦受到NotPetya / Petya的感染,並非好像早前阻止WannaCry一樣的Kill Switch,假若病毒出現變種的話,這個方法依然是於是無補。而電腦就算已經安裝針對WannaCry而推出的更新檔,堵截之前的Eternalblue漏洞(MS17-010),依然有機會受到NotPetya / Petya的感染,所以大家還是先跟著上面的做法,為電腦多加一重防禦。
受感染電腦會透過WMI或PsExec攻擊同一個網絡系統的其他電腦,由於NotPetya / Petya有讀緊電腦密碼的能夠,若果同事的電腦受到感染,自己的電腦未有設定或使用太簡單的密碼,都會更容易成為攻擊目標。由於Petya並不會像WannaCry一樣,在背景進行檔案加密,而是以假扮Hang機,強制Reboot並假扮掃瞄修護硬碟,其實是將檔案加密,所以用戶發現電腦忽然出現「Windows will shut down in less than a minute」強制關機及進入掃瞄修護硬碟的程序,請在對方完成加密前關機,並等待公司的IT部門同事,以電腦原裝的Boot CD進行備份及清理受感染檔案的工作。
另外,網絡保安公司BleepingComputer已經製作簡單的安裝檔,讓不熟悉電腦技術的朋友,可以簡單完成以上的教學。
下載BleepingComputer製作perfc檔案的安裝檔