Petya勒索软件“疫苗”：只需新建一个只读文件

北京时间6月27日，Petya勒索软件大范围爆发，从而刷爆各大媒体版面、朋友圈、微博等。据思科Talos、ESET、MalwareHunter、卡巴斯基实验室、乌克兰警方等多种消息来源表示，不知名的攻击者感染了M.E.Doc(M.E.Doc是乌克兰公司使用的热门会计软件)更新服务器，并向客户推送了这个恶意软件更新。

攻击源头

乌克兰网警表示，此次攻击的源头似乎是与乌克兰政府合作所需的记账程序里的软件更新机制。这也可以解释为何很多乌克兰企业受到入侵，其中甚至包括政府，银行，国家电网，基辅机场和地铁。切尔诺贝利的辐射监测系统也陷入瘫痪，迫使工作人员不得不用手持计数器测量前核电站隔离区的辐射量。

蔓延范围

Petya还造成了欧洲和美国几家大型企业系统瘫痪，其中包括广告公司WPP，法国建材公司Saint-Gobain和俄罗斯钢铁、石油企业Evraz和Rosneft。还有食品公司Mondelez，欧华律师事务所和丹麦航运巨头AP Moller-Maersk，就连运营着匹兹堡医院和医疗系统的Heritage Valley健康系统也反映曾遭到恶意软件攻击。

如何让计算机免疫?

Petya 爆发后，研究人员们蜂拥而上对其进行分析，网络安全人员 Amit Serper 已经发现了预防计算机被 Petya(含 NotPetya / SortaPetya / Petna)感染的方法。NotPetya 会搜索一个本地文件，如果磁盘上已经存在，勒索软件就会退出加密。

没过多久，这一发现就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究机构的证实。这意味着用户可以在 PC 上创建一个只读文件，即可封锁 NotPetya 勒索软件的执行。

下面是 NotPetya“疫苗”的注射流程：

(1)首先，在 Windows 资源管理器中配置“显示文件扩展名”(文件夹选项 -> 查看 -> 隐藏文件和文件夹 -> 显示隐藏的文件、文件夹和驱动器);

(2)其次，打开 C:\Windows 文件夹，选中记事本(notepad.exe)程序，复制/粘贴一个它的副本。

(3)执行该操作时，系统可能需要你赋予管理员权限。

(4)继续后，按 F2 将 notepad(副本).exe 重命名为 perfc 。

(5)确认变更文件夹和后缀名的操作，继续后 右键选中 该文件，点击 属性 。

(6)在弹出的文件属性对话框中，将其设置为 只读 。

(7)设置完成后，点击 应用 。

完成上述操作后，你的计算机应该就可以免疫 NotPetya / SortaPetya / Petya 类勒索软件了。

电脑被感染了怎么办?

@HackerFantastic在推特上发文提示，被病毒感染后需等待一小时再重启系统。关闭计算机是为了防止文件被加密，可以过段时间再试着恢复文件。

“如果计算机重启后看到勒索信息，立即关机!因为这时正处于文件加密时期，不开机的话文件绝不会丢失。”

收到勒索信息后，绝对不要支付赎金，黑客的“客服”邮件地址已被封停，付了赎金也无法收到钥匙解锁文件。被感染后不要联网，将硬盘驱动器格式化，重装备份文件。建议养成重要文件经常备份的习惯，每隔一段时间更新病毒拦截软件。