Petya勒索病毒比Wannacry更具破坏力！感染Petya病毒之后怎么办？

自从6月28号到今天，包括俄罗斯,乌克兰在内的欧美各国的政府以及大型企业应该头都相当痛，不为什么，只因为新型的恶意勒索软件 Petya 所造成，其原理感觉与 WannaCry 类似，但是通过更多 Windows 漏洞与使用者的一时疏忽造成，以下就来看看 Petya 的原理，以及如何自救吧！文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

在感染了加密勒索软件Petya后，计算机会当机，重新开机会出现骷髅头红色画面。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

Petya 其实远在去年就有类似的灾情爆发，当时可通过 Dropbox 云端空间连结进行感染。不过这次经过变种的 Petya（被取名为 Golden Eye），不仅利用基于 Wannacry 的 Eternal Blue 与 Windows CVE-2017-0199 漏洞进行感染，照理说在前波攻击后的漏洞修正已经可有效遏阻，但为何这次仍会有不少灾情呢？文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

1、Petya病毒比 WannaCry 还要多元的感染手法文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

其实 Petya 不仅利用上述几个漏洞，还会利用企业内网以及 Windows 内的管理员机制、或是邮件散布、偷取登入密码等方式进行大范围感染。简单来说，就算你的计算机已经装了软件更新，要是同公司内的计算机被感染，一样会中招并进行勒索。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

新版 Petya 的感染流程，最重要的地方就是在于会利用 Windos 管理员与窃取密码的方式，在企业内网再度进行传播。（图／翻摄自趋势科技）文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

目前 Petya 主要的攻击目标还是以政府机构、企业组织为目标，截至为此象是乌克兰、纽约等政府设施受影响外，象是石油公司 Rosneft、有在台湾设点的英国媒体公司 WPP 也同样是受害者，最为恐怖的是，就连核电厂也受到波及，目前仅能透过手动方式调整。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

就像之前的 WannaCry 一样，以政府与企业为目标的 Petya，也让乌克兰的 ATM 提款机出现灾情。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

有别于 WannaCry 只是随机封锁部分档案，并进行勒索，Petya 的着力可说又深上不少。在感染后其实会潜伏一阵子，然后计算机会跳出强迫重开并进行硬盘扫描、修复的指示后，就会马上重新开机，此时正是灾难开端！文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

Petya 在经过一定时间的潜伏后，就会假冒 Windows 需要硬盘扫描的方式并进行加密，要是遇到的话，此时该做的，就是马上关机，切断网络连接！文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

说是扫描与修复硬盘，但是其实 Petya 此时会通过修改计算机内的 MBR 主要开机磁碟设定进行加密，完成后再度开机，就会跑出以 $ 金钱符号组成的骷髅头，并且提示将 300 美金的比特币汇入指定账号，就连 Windows 都无法登入，更别说是存取内部的档案了，简直是恶意满满啊！文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

假硬盘扫描真加密完成后，开关机就只会出现以下这个被勒索的图案，连 Windows 都进不去。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

编辑根据第一手受感染的人透露，公司内部的计算机会在同时自动关机，开机时就会出现被勒索的状况，且完全无法使用计算机，感染的期间其实相当短，从此例子也能看出 Petya 通过内网所感染的杀伤力有多大！文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

2、感染Petya病毒，怎样自救和防范？文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

对于不是主要攻击目标的一般用户来说，Petya 的威胁性其实会小于 WannaCry，但要是尚未感染的话，还是要注意以下状况。首先就是将 Windows 的密码改的强度更高，只要密码够复杂，Petya 就更难破解密码并进行感染；另外，要是有设管理员群组的公司，一样需要强度更高的管理密码或存取权限，当然，Windows 该装的系统更新更是不可少（象是之前的 MS17-010）。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

之前 WannaCry 灾情下的微软系统更新 MS17-010 要是还没装，就赶快装吧（是说没装还没出事的人，不是没用网络，就是该买张乐透了）。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

要是不幸感染的话怎么办？以下可以分为两种状况，第一种就是先前所说的，要是刚遇到重开机扫描硬盘的指示，此时不用犹豫，马上把计算机关机，并且将网络线拔了，藉此防止 Petya 加密 MBR 的行为发生，再利用 Boot 机手法清理或是制作 Kill Switch 并备份，但这个机制需要一定的计算机知识，还是拿去给专业的人利用，会比较妥当。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

真的感染的话，最糟的方法就是付钱给加害者，有可能根本不会帮你解锁，甚至钱还会被拦截。文章源自技术奇点-https://www.xerer.com/archives/20436.html

文章源自技术奇点-https://www.xerer.com/archives/20436.html

要是遇到最差的状况，也就是计算机已被完全攻占，出现勒索视窗该怎么办？此次你要做的，绝对不是付出比特币给黑客，首先黑客其实很难有机制去查询付钱的受害者是谁，且在金流运送的过程中，可能还会被其他人拦截金额（黑吃黑？），且据媒体消息指出，目前 Petya 的赎金账户已经被封锁，所以就不要再丢钱进去，只能等资安公司提出解救方案，所以平时资料备份的习惯还是要有，以免心血付诸流水啊！文章源自技术奇点-https://www.xerer.com/archives/20436.html

微信公众号

扫码关注公众号获取资源下载及吃瓜爆料

发表评论