火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[官方公告] 关于新勒索病毒Petya你最想知道的5个问题

[复制链接]
7166 7
楼主
发表于 2017-6-28 21:33:17 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
1、如何防范勒索病毒Petya
火绒安全团队通宵分析病毒代码、紧急升级了病毒库,开启“火绒安全软件”即可拦截和查杀Petya病毒。
此外,火绒工程师建议用户:
1)  将重要文件进行备份。
2)  不要轻易点击不明附件,尤其是rtf、doc等格式文件。
3)  安装Windows系统补丁(MS)
4)  安装Microsoft Office/WordPad  远程执行代码漏洞(CVE -2017-0199)补丁
5)  禁用WMI服务
2、中毒之后支付赎金可以找回文件吗?
非常遗憾,不能。因为受害者支付赎金后,还需将比特币钱包地址发送至邮箱“wowsmith123456@posteo.net”,以便病毒作者确认受害人是否付款。
但是截止至发稿前,此邮箱的供应商Posteo宣布,已经将该邮箱关闭。所以即使支付了赎金,病毒作者也无法收到邮件,所以也就无法提供密码。
3、中毒后,能否通过直接拔掉电源阻止加密文件过程?
不能。病毒一旦运行,将会在一个小时内重启,在这段时间内,特定后缀的文件,将被加密。当电脑重启后出现伪造的系统修复界面时,拔掉电源为时已晚,并不能挽回已经被加密的文件。
4、不点陌生邮件、打补丁就万事大吉了么?
NO!Petya采用多种方式传播,除了很多安全厂商提到的钓鱼邮件,以及利用“永恒之蓝”漏洞传播之外,还通过以下方式传播:
1、 通过系统自带的WMIC连接远程计算机,复制并执行病毒程序。
2、 通过释放到Windows目录下的dllhost(Sysinternals的PeExec)连接远程计算机,复制并执行病毒程序。
也就是说,如果某个企业的一台电脑因病毒邮件感染Petya,那么整个企业内网中包含“永恒之蓝”漏洞的电脑都有可能被感染。即使安装了“永恒之蓝”漏洞补丁,仍有可能被感染。
5、“Petya ”曾经出现过?
本次勒索病毒刚出现时曾被称作“Petya ”,被认为是去年Petya的变种。火绒安全实验室认为,“新Petya ”虽然在加密手段、勒索方式上与“老Petya ”极为相似(即都修改MBR,在显示磁盘扫描界面的同时利用MFT加密磁盘)。但是,二者在传播方式上有着明显不同,“老Petya ”本身没有传播能力。而“新Petya”除了自身携带“永恒之蓝”利用代码以外,还有其他传播方式,是其增强版。

回复

使用道具 举报

7166 7
沙发
发表于 2017-6-29 11:05:42 来自手机 | 只看该作者
原来传播方式不同,难怪卡巴将其称为“ExPetr”。。。 据说通过修复相同的MS17-010漏洞,还是可以保证安全的。PS  当然指的只是网络入侵,并不包括本地。
回复

使用道具 举报

7166 7
板凳
发表于 2017-6-29 11:11:55 来自手机 | 只看该作者
哦,还得修复Office漏洞。。。我的WMI那到是一直都禁用的,包括各类远程服务。
回复

使用道具 举报

7166 7
地板
发表于 2017-6-29 12:21:35 来自手机 | 只看该作者
想问下官人,这个新的Petya没有“安全开关”了吧?
回复

使用道具 举报

7166 7
5#
发表于 2024-8-5 09:34:41 | 只看该作者
在电脑蓝屏后立即挂载PE修引导有用吗?
回复

使用道具 举报

7166 7
6#
发表于 2024-8-5 09:37:30 | 只看该作者
善良的MEMZ 发表于 2024-8-5 09:34
在电脑蓝屏后立即挂载PE修引导有用吗?

您好,电脑蓝屏后可以正常进系统吗?
回复

使用道具 举报

7166 7
7#
发表于 2024-8-5 16:28:56 | 只看该作者
火绒运营专员 发表于 2024-8-5 09:37
您好,电脑蓝屏后可以正常进系统吗?

你这问题问的……这Petye弄到蓝屏,我说能进你信?
回复

使用道具 举报

7166 7
8#
发表于 2024-8-5 16:32:27 | 只看该作者
善良的MEMZ 发表于 2024-8-5 16:28
你这问题问的……这Petye弄到蓝屏,我说能进你信?

您好,可以按照您方法尝试修复试试
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表