继 WannaCry 之后,利用 NSA“永恒之蓝”漏洞的新型 Petya 勒索软件再次引爆了网络。 据悉,Petya 会锁定磁盘的 MFT 和 MBR 区,导致计算机无法启动。除非受害者付费解锁(但目前并不推荐这么做),否则无法恢复他们的系统。
早前肆虐互联网的 WannaCry 有个“自杀开关”,但 Petya 却只能通过“疫苗”来预防。
Petya 爆发后,研究人员们蜂拥而上对其进行分析,而 Serper 率先发现 NotPetya 会搜索一个本地文件,如果磁盘上已经存在,勒索软件就会退出加密。
没过多久,这一发现就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究机构的证实。这意味着用户可以在 PC 上创建一个只读文件,即可封锁 NotPetya 勒索软件的执行。
下面是 NotPetya“疫苗”的注射流程:
(1)首先,在 Windows 资源管理器中配置“显示文件扩展名”(文件夹选项 -> 查看 -> 隐藏文件和文件夹 -> 显示隐藏的文件、文件夹和驱动器);
(2)其次,打开 C:Windows文件夹,选中记事本(notepad.exe)程序,复制/粘贴一个它的副本。
(3)执行该操作时,系统可能需要你赋予管理员权限。
(4)继续后,按 F2 将 notepad(副本).exe重命名为perfc。
(5)确认变更文件夹和后缀名的操作,继续后 右键选中该文件,点击属性。
(6)在弹出的文件属性对话框中,将其设置为 只读。
(7)设置完成后,点击 应用。
完成上述操作后,你的计算机应该就可以免疫 NotPetya / SortaPetya / Petya 类勒索软件了。