火绒安全软件

标题: 关于新勒索病毒Petya你最想知道的5个问题 [打印本页]

作者: huoronganquan 时间: 2017-6-28 21:33
标题: 关于新勒索病毒Petya你最想知道的5个问题

1、如何防范勒索病毒Petya？

火绒安全团队通宵分析病毒代码、紧急升级了病毒库，开启“火绒安全软件”即可拦截和查杀Petya病毒。

此外，火绒工程师建议用户：

1) 将重要文件进行备份。

2) 不要轻易点击不明附件，尤其是rtf、doc等格式文件。

3) 安装Windows系统补丁（MS）

下载地址：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

4) 安装Microsoft Office/WordPad 远程执行代码漏洞（CVE -2017-0199）补丁

下载地址：https://technet.microsoft.com/zh-cn/office/mt465751.aspx

5) 禁用WMI服务

教程：https://zhidao.baidu.com/question/91063891.html

2、中毒之后支付赎金可以找回文件吗？

非常遗憾，不能。因为受害者支付赎金后，还需将比特币钱包地址发送至邮箱“wowsmith123456@posteo.net”，以便病毒作者确认受害人是否付款。

但是截止至发稿前，此邮箱的供应商Posteo宣布，已经将该邮箱关闭。所以即使支付了赎金，病毒作者也无法收到邮件，所以也就无法提供密码。

3、中毒后，能否通过直接拔掉电源阻止加密文件过程？

不能。病毒一旦运行，将会在一个小时内重启，在这段时间内，特定后缀的文件，将被加密。当电脑重启后出现伪造的系统修复界面时，拔掉电源为时已晚，并不能挽回已经被加密的文件。

4、不点陌生邮件、打补丁就万事大吉了么？

NO！Petya采用多种方式传播，除了很多安全厂商提到的钓鱼邮件，以及利用“永恒之蓝”漏洞传播之外，还通过以下方式传播：

1、通过系统自带的WMIC连接远程计算机，复制并执行病毒程序。

2、通过释放到Windows目录下的dllhost（Sysinternals的PeExec）连接远程计算机，复制并执行病毒程序。

也就是说，如果某个企业的一台电脑因病毒邮件感染Petya，那么整个企业内网中包含“永恒之蓝”漏洞的电脑都有可能被感染。即使安装了“永恒之蓝”漏洞补丁，仍有可能被感染。

5、“Petya ”曾经出现过?

本次勒索病毒刚出现时曾被称作“Petya ”，被认为是去年Petya的变种。火绒安全实验室认为，“新Petya ”虽然在加密手段、勒索方式上与“老Petya ”极为相似（即都修改MBR，在显示磁盘扫描界面的同时利用MFT加密磁盘）。但是，二者在传播方式上有着明显不同，“老Petya ”本身没有传播能力。而“新Petya”除了自身携带“永恒之蓝”利用代码以外，还有其他传播方式，是其增强版。

作者: w-tekeze 时间: 2017-6-29 11:05
原来传播方式不同，难怪卡巴将其称为“ExPetr”。。。据说通过修复相同的MS17-010漏洞，还是可以保证安全的。PS 当然指的只是网络入侵，并不包括本地。

作者: w-tekeze 时间: 2017-6-29 11:11
哦，还得修复Office漏洞。。。我的WMI那到是一直都禁用的，包括各类远程服务。

作者: w-tekeze 时间: 2017-6-29 12:21
想问下官人，这个新的Petya没有“安全开关”了吧？

作者: 善良的MEMZ 时间: 2024-8-5 09:34
在电脑蓝屏后立即挂载PE修引导有用吗？

作者: 火绒运营专员 时间: 2024-8-5 09:37

善良的MEMZ 发表于 2024-8-5 09:34
在电脑蓝屏后立即挂载PE修引导有用吗？

您好，电脑蓝屏后可以正常进系统吗？

作者: 善良的MEMZ 时间: 2024-8-5 16:28

火绒运营专员发表于 2024-8-5 09:37
您好，电脑蓝屏后可以正常进系统吗？

你这问题问的……这Petye弄到蓝屏，我说能进你信？

作者: 火绒运营专员 时间: 2024-8-5 16:32

善良的MEMZ 发表于 2024-8-5 16:28
你这问题问的……这Petye弄到蓝屏，我说能进你信？

您好，可以按照您方法尝试修复试试

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)