《电子技术应用》

新勒索病毒“疫苗”被发现 可使计算机免疫

2017/6/28 15:29:00

       北京时间6月28日下午消息,来自Cybereason的信息安全研究员艾米特·赛普尔(Amit Serper)发现了一种方式,可以阻止Petya(或称作NotPetya/SortaPetya/Petna)勒索病毒感染计算机

1cRV-fyhneam5137830.jpg

勒索病毒界面

  本周二,Petya勒索病毒在全球范围内快速传播。这种病毒会锁住硬盘的MFT和MBR区块,导致计算机无法启动。除非受害者支付赎金(但实际上意义不大),否则没有任何方式能恢复系统。

  研究人员最初认为,这种新的勒索病毒是此前曾出现的Petya的变种。不过他们随后发现,这是一种全新的病毒,只是借用了Petya的某些代码。

  由于Petya勒索病毒的影响范围很广,因此许多信息安全专家都开始研究该病毒,希望能找到其中的缺陷或删除开关,从而阻止其传播。此前的WannaCry勒索病毒就存在这样的删除开关。

  赛普尔首先发现,Petya病毒会搜索本地文件,如果文件已经在磁盘上存在,那么将退出加密过程。随后,其他信息安全机构,例如PT Security、TrustedSec和Emsisoft,也证实了这一发现。

  这意味着,受害者可以在PC上新建文件,设置为只读,随后即可阻止Petya勒索病毒的执行。

  尽管这样做可以阻止勒索病毒的运行,但这更像是一种“疫苗”,而不是删除开关。这是由于,每台计算机的用户都必须独立创建这个文件。而如果存在删除开关,那么勒索病毒的开发者可以直接打开开关,阻止病毒在全球范围内的传播。

  如果想要预防这种病毒,那么可以在计算机的C:\Windows目录下创建文件perfc,并将其设置为只读。此外,有信息安全研究员编写了batch文件,可以帮你完成所需的操作。


继续阅读>>