搜索
查看: 1919|回复: 3
收起左侧

[转帖] 关于新勒索病毒Petya你最想知道的5个问题

[复制链接]
引领四基生活
发表于 2017-6-29 15:54:42 | 显示全部楼层 |阅读模式
1、如何防范勒索病毒Petya?

  火绒安全团队通宵分析病毒代码、紧急升级了病毒库,开启"火绒安全软件"即可拦截和查杀Petya病毒。

  此外,火绒工程师建议用户:

  1)将重要文件进行备份。

  2)不要轻易点击不明附件,尤其是rtf、doc等格式文件。

  3)安装Windows系统补丁(MS)

  下载地址:https://technet.microsoft.com/en ... urity/ms17-010.aspx

  4)安装MicrosoftOffice/WordPad远程执行代码漏洞(CVE-2017-0199)补丁

  下载地址:https://technet.microsoft.com/zh-cn/office/mt465751.aspx

  5)禁用WMI服务

  教程:https://zhidao.baidu.com/question/91063891.html

2、中毒之后支付赎金可以找回文件吗?

  非常遗憾,不能。因为受害者支付赎金后,还需将比特币钱包地址发送至邮箱"wowsmith123456@posteo.net",以便病毒作者确认受害人是否付款。

  但是截止至发稿前,此邮箱的供应商Posteo宣布,已经将该邮箱关闭。所以即使支付了赎金,病毒作者也无法收到邮件,所以也就无法提供密码。

3、中毒后,能否通过直接拔掉电源阻止加密文件过程?

  不能。病毒一旦运行,将会在一个小时内重启,在这段时间内,特定后缀的文件,将被加密。当电脑重启后出现伪造的系统修复界面时,拔掉电源为时已晚,并不能挽回已经被加密的文件。

4、不点陌生邮件、打补丁就万事大吉了么?

  NO!Petya采用多种方式传播,除了很多安全厂商提到的钓鱼邮件,以及利用"永恒之蓝"漏洞传播之外,还通过以下方式传播:

  1、通过系统自带的WMIC连接远程计算机,复制并执行病毒程序。

  2、通过释放到Windows目录下的dllhost(Sysinternals的PeExec)连接远程计算机,复制并执行病毒程序。

  也就是说,如果某个企业的一台电脑因病毒邮件感染Petya,那么整个企业内网中包含"永恒之蓝"漏洞的电脑都有可能被感染。即使安装了"永恒之蓝"漏洞补丁,仍有可能被感染。

5、"Petya"曾经出现过?

  本次勒索病毒刚出现时曾被称作"Petya",被认为是去年Petya的变种。火绒安全实验室认为,"新Petya"虽然在加密手段、勒索方式上与"老Petya"极为相似(即都修改MBR,在显示磁盘扫描界面的同时利用MFT加密磁盘)。但是,二者在传播方式上有着明显不同,"老Petya"本身没有传播能力。而"新Petya"除了自身携带"永恒之蓝"利用代码以外,还有其他传播方式,是其增强版。
http://bbs.huorong.cn/thread-22946-1-1.html


KK院长
发表于 2017-6-29 16:30:38 | 显示全部楼层
对付 新勒索病毒 移动硬盘备份。
引领四基生活
 楼主| 发表于 2017-6-29 16:31:32 | 显示全部楼层
KK院长 发表于 2017-6-29 16:30
对付 新勒索病毒 移动硬盘备份。

小【啊♂ 】姐姐太大了
FUZE
发表于 2017-6-30 16:37:24 | 显示全部楼层
引领四基生活 发表于 2017-6-29 16:31
小【啊♂ 】姐姐太大了

噫!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-22 13:20 , Processed in 0.051539 second(s), 6 queries , MemCached On.

快速回复 返回顶部 返回列表