Petya勒索病毒疫苗出现，分分钟让电脑对病毒免疫

继wannacry之后，Petya勒索软件攻击再次席卷全球，对欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场造成了不同程度的影响。

研究发现，Petya 会锁定磁盘的 MFT 和 MBR 区，导致计算机无法启动。除非受害者支付赎金解锁，否则无法恢复他们的系统。但在此前的wannacry勒索软件事件发生的时候，阿里聚安全就建议大家不要支付赎金，一方面支付赎金后不一定能找回数据，其次这些赎金会进一步刺激攻击者挖掘漏洞，并升级攻击手段。

好消息是Cybereason安全研究员Amit Serper已经找到了一种方法来防止Petya （notpetya / sortapetya / petna）勒索软件来感染电脑，这种方法简直一劳永逸！

 

研究员蜂拥寻找killswitch机制

在Petya 爆发的第一时间，国内外安全研究人员们蜂拥而上对其进行分析，一开始他们认为Petya无非是新瓶装旧酒，和其他勒索软件相似。但在进一步研究过程中，他们发现这是一种全新的勒索蠕虫病毒。因此它的名字从Petya逐渐变为Notpetya，Petna，以及SortaPetya。

研究员分析勒索软件的运作机制后，发现NotPetya会搜索本地文件，如果文件已经在磁盘上存在，那么勒索软件就会退出加密。这意味着，受害者只需要在自己电脑上创建这个文件，并将其设置为只读，就可以成功封锁Notpetya勒索软件的执行。

这种方法不能阻止勒索病毒的运行，因为它就像注射疫苗让设备免疫病毒攻击，而不是杀死病毒。它可以让受害者一劳永逸，不再受到勒索软件的感染。

这一发现就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究机构的证实。

如何注射Notpetya//Petna/Petya疫苗

批量创建方法，适用于运维管理

在C盘的Windows文件夹下创建一个perfc文件，并设置为只读。对于那些想要快速创建文件的人，Lawrence Abrams演示了批量创建文件的步骤。请注意，批量创建文件的同时还需要创建perfc.dat和perfc.dll两个文件。

批量文件处理工具下载地址：https://download.bleepingcomputer.com/bats/nopetyavac.bat

手动创建方法，适用于个人

1、首先，在 Windows 资源管理器中去除“隐藏已知文件类型的扩展名”的勾选（文件夹选项 -> 查看 ->隐藏已知文件类型的扩展名）

2、打开 C:Windows文件夹，选中记事本（notepad.exe）程序，复制并粘贴它的副本。粘贴文件时，可能需要赋予管理员权限。

3、将 notepad（副本）.exe重命名为perfc，记得扩展名也去掉。

4、右键选中该文件，点击属性，在弹出的文件属性对话框中，将其设置为“只读”

创建好文件后，建议同时创建在C盘的Windows文件夹下创建perfc.dat和perfc.dll。

此方法来源于bleepingcomputer，原文地址：https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

---------------------------------------------

阿里聚安全编译，更多安全类热点及知识分享，请关注阿里聚安全的官方博客