勒索病毒Petya并不为钱:目的就是想搞坏你的硬盘
- A
近日来,一款名为Petya的新型勒索病毒正在全球肆虐,尤其是对欧洲诸多国家和地区产生了很大的影响,根据微软官方的遥测数据显示,Petya病毒已造成两万台左右的计算机受到感染。
而根据网络机构Outfit Technologies透露,Petya病毒的行为非常的恶劣,能够对用户数据造成不可逆转的损坏!
Outfit Technologies将Petya病毒比作是一把刷子,因为Petya病毒不加密硬盘的MBR用来做后续的勒索,而是直接将硬盘的前25个扇区进行破坏,我们知道,一旦硬盘的MBR发生损害后,计算机就无法再检索驱动器上的数据了。
而且,即便是受害者向黑客缴纳了赎金也无法解锁自己的文件,因为用于联系黑客的电子邮箱已被其邮件服务提供商封禁了,这就意味着受害者根本无法通过缴纳赎金的方式通过黑客来帮助自己恢复数据了,这样的悲催何人能知呢!
根据Outfit Technologies的分析,Petya病毒背后的发起者并不是为了获得赎金而来的,其目的应该是为了针对特定的目标而发起的破坏性活动,这不禁让笔者联想到,近日来爆发的Petya病毒所产生的第一轮和第二轮攻击中包含的受害者都有乌克兰国家能源公司Ukrenergo,细化出来就是Ukrenego电力供应商系统因攻击导致中断!
因此,Petya病毒是否就是有人将乌克兰国家能源公司Ukrenergo列为攻击目标,专门进行破坏呢?我们并不知晓,至少在业内人士看来,Petya病毒背后的发起者所使用的收款手段并不是很“专业”:使用了同一个比特币钱包来获取赎金,并未专门为受害者创建专用的收款帐号来区分到底是谁支付了赎金!
因此,不仅仅是业内人士这么认为,普通人似乎也能看出点门道:Petya勒索病毒的目的并不是为了赎金而来,其最终的目的就是破坏受害者的硬盘,但其攻击目标究竟是谁,我们并不知晓,至少目前已有很多的个人PC处于其攻击范围之内,成为其攻击目标的陪葬品!
同样的,经分析病毒样本后发现,Petya勒索病毒与之前肆虐的WannaCry病毒一样,都是利用了美国国家安全局(NSA)泄露的“永恒之蓝”漏洞发起攻击的。
对此此前肆虐的勒索病毒,作为普通用户我们倒是可以通过备份数据来避免被封锁文件后产生的一系列问题,而对于Petya勒索病毒勒索病毒来说,由于其具备破坏硬盘的能力,显然备份数据还是远远不够的,除了将自己的操作系统和杀软升级到最新版本之外,还要尽可能的根据网上提供的一系列预案来规避风险!
根据国外Cybereason安全研究人员Amit Serper对Petya勒索病毒以及其变种 (notpetya / sortapetya / petna)病毒的运作机制分析分析后发现,该病毒会搜索本地文件,如果文件已经在磁盘上存在,那么勒索软件就会退出加密,这就意味着该病毒存在疫苗可以避免用户遭遇该勒索病毒和其变种产生的危害!
并且这一发现也得到了 PT Security、TrustedSec、以及 Emsisoft 等在内的安全研究机构的证实,具体的操作方法如下:
1、首先,在 Windows 资源管理器中去除“隐藏已知文件类型的扩展名”的勾选(文件夹选项 -> 查看 ->隐藏已知文件类型的扩展名)
2、打开 C:Windows文件夹,选中记事本(notepad.exe)程序,复制并粘贴它的副本。粘贴文件时,可能需要赋予管理员权限。
3、将 notepad(副本).exe重命名为perfc,记得扩展名也去掉。
4、右键选中该文件,点击属性,在弹出的文件属性对话框中,将其设置为“只读”,创建好文件后,建议同时创建在C盘的Windows文件夹下创建perfc.dat和perfc.dll。
