論壇首頁 › 網路安全資訊(Network Security) › Petya (*暫稱) 新型態勒索病毒預防與解決方法

shyan168 發表於 2017-6-30 00:43

Petya (*暫稱) 新型態勒索病毒預防與解決方法

本帖最後由 shyan168 於 2017-7-3 10:28 編輯

底下文章來自於:
http://www.softnext.com.tw/news_main.html?pg=1&tag=t2&nid=928
https://i.imgur.com/l48kikh.jpg
Petya (*暫稱) 新型態勒索病毒預防與解決方法
預先製作 Petya Kill Switch（Petya 有自己的 Kill Switch 以停止自殺運作，暫時只能防止目前版本，若有新變種的話，不確定是否有效）
步驟一：
選擇命令提示字元（系統管理員）
https://i.imgur.com/6xMISjI.jpg

步驟二：
在 C:\Windows 資料夾下建立 perfc、perfc.dll、perfc.dat 檔案，請輸入以下指令（也可以使用檔案總管建立這些檔案）
cd..（按 Enter）
copy con perfc（按 Enter，再按 Ctrl + Z，然後再按 Enter）
copy con perfc.dll（按 Enter，再按 Ctrl + Z，然後再按 Enter）
copy con perfc.dat（按 Enter，再按 Ctrl + Z，然後再按 Enter）
https://i.imgur.com/wGLEOIk.jpg

或者建立一個批次檔（內容如下所示），然後，以管理員權限執行此批次檔。
@echo off
echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1
if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
                attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat
                echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause
https://i.imgur.com/KdeZMdz.jpg

中Petya勒索病毒的解決方法
由於Petya勒索病毒必須重新開機後才會進行檔案加密動作，若電腦中Petya勒索病毒後，系統會提示您重新開機，只要看到下圖時，應立即把電腦電源關閉，這樣可以確保系統內大部分的檔案都沒有被加密，之後再請專業人員協助將檔案備份出來即可。若您沒有在第一時間將電腦電源關閉，您的重要檔案就會全部被加密起來，即使支付贖金也無法解開檔案。

https://i.imgur.com/FeVWkMX.jpg

*此指2017/06/27爆發的加密開機磁區勒索病毒

撞牆壁 發表於 2017-6-30 03:17

印象中

他加密的並非檔案
而是加密硬碟讀取磁區

然後也因為勒索人的郵件系統被停權了
所以就算支付贖金也拿不回解鎖方法

bruce0702 發表於 2017-6-30 06:41

本帖最後由 bruce0702 於 2017-6-30 06:43 編輯

還有一個是Office的漏洞，CVE-2017-0199
https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/CVE-2017-0199

jx4640 發表於 2017-6-30 11:05

請問這個方法還須要用防火牆封鎖ˋˋ445TCP嗎?

eizor 發表於 2018-2-26 10:53

勒索病毒防不勝防   
將來不斷會有新型態的病毒

最好的自保方式 就是定期備份資料
遇到甚麼病毒都不怕

查看完整版本: Petya (*暫稱) 新型態勒索病毒預防與解決方法