Petya 病毒全球爆发 Windows 受害者上升中，预防自救看这里！

新型勒索软件 Petya 开始全球爆发，别以为上次 Wannacry 事件电脑更新过就没事，这次 Petya 不只用了 SMBv1 漏动，更结合 Windows 网络安装弱点攻击。这里教 Windows 用户快速解决这重大危机。

有多少机会中招？

目前第一波虽未到上次 WannaCry 的强度但也不弱，目前英、美、法、德都有超过 2,000 台电脑感染、乌克兰国家银行及电力公司都中招。受害人想解锁硬盘需支付价值 300 美元的比特币，暂时已有 32 名受害者付费，总值大约 6,775 美元。

电脑有更新 / Win10 也中招

即使安装了 Eternalblue 漏洞（WannaCry）的补丁也一样中招，这是 Petya 最致命的地方。所以这次 Windows 10 用户也难逃一劫。

只要网络上有一台电脑忘记更新或修正 Windows 的 SMBv1 漏洞，这样 Petya 便会感染那台电脑然后再利用 Windows 客户端攻击（CVE-2017-0199），通过 WMIC 及 PSEXEC 在网络上的其他电脑进行安装 Petya 勒索软件，只要你的电脑密码是简单组合，就容易被攻破。

▲ ATM 也中招

Windows 用户密码太容易被破解

Petya 内建工具懂得由 Windows 客户端及 Domain Controller 中偷取密码情报，由于公司电脑只用来处理公事，没有个人隐私下很多时候都忽略密码的重要性。很多人务求回到公司开机方便，都设定一些比较简单易记的密码，甚至没有设定。Petya 很容易就执行指令，直接通过网络安装到你的电脑上

Windows 突然 Reboot 强制加密

有别于 Wannacry，Petya 不会在背后偷偷加密你的档案，用户不会发觉电脑变慢。它中招后 1 小时内静静不动，然后强制 BSOD 当机 Reboot 进行加密硬盘的 MFT 及修改 MBR，整个过程超快，加密时会隐藏成扫描及修护硬盘，让用户不敢打断（这是 Windows 死机后常见的事），完成后整个硬盘都不能再存取，连 Windows 都进不了，因此破坏力比 WannaCry 强。

中招过程：

Step 1：

中招后电脑死机 Reboot ，然后扮成扫描硬盘（一见到这画面请立即关机进行自救）。

Step 2：

然后会提示你解锁要付 300 美元的比特币，期间硬盘 MFT 被加密，不能进入 Windows 也不能安装到其他电脑上做档案存取。

预防方法 :

1. 更改使用复杂的 Windows 密码

如果上次 Wannacry 爆发时你没更新电脑，请立即进行更新 。另外，如果你没设登陆密码或密码过于简单，请立即更改。

2. 预先制作 Petya Kill – Switch（必做）

跟 WannaCry 一样，Petya 也有自己的 Kill Switch 自杀停止运作 ，制作这个 Kill-Switch 非常简单，但暂时只能防止目前版本，有变种的话便无效（还是建议使用强密码）。

Step 1：

右键 Windows Logo，选择命令提示字符（系统管理员）。

Step 2：

输入以下指令，目的为了在 Windows 资料夹中（e.g C:\Windows）建立一个 perfc 、perfc.dll、perfc.dat 档。

cd..（按 Enter）

copy con perfc（按 Enter）

（按 Ctrl + Z）

（按 Enter）

copy perfc perfc.dll（按 Enter）

copy perfc perfc.dat（按 Enter）

3. 安装 MBRFilter（危急才用）

Cisco 于上年写了一个叫 MBRFilter 的档案以防止硬碟的 Sector 0 写入， 这可以防止 Petya 更改 MBR 以进行加密。安装这个需要有一定的 IT 基础（链接）。

4. 关闭 WMI 服务（危急才用）

关闭了 Windows 的远程安装服务，防止 Petya 通过网络在你的电脑上安装（如果你电脑有使用 RDP 或其他远程管理工具，关闭 WMI 后有可能无法使用，Windows Security Center 也会受影响）。因此不建议长期关闭，只能当作暂停扩散之用。

Step 1：

右键 Windows Logo，选择命令提示字符（系统管理员）。

Step 2：

输入net stop winmgmt b（其后可用 net start winmgmt 重新开启服务）

中招解決方法 :

发现电脑 Reboot 就关机，别等

由于 Petya 需要 Reboot 后才进行加密程序，所以电脑用户发现 Windows 突然死机无故重启的话，一看到 Windows Logo 就立即关机，然后使用开机光碟 Boot 机或把硬盘取出接到其他电脑进行清理、制作 Kill Switch、备份。如果你让它加密完成，你的电脑显示以下画面就暂时无法救回来了。

一 Reboot 或看到 Windows Logo 立即关机不要让它加密。关机后档案在硬盘是安全的，只要不启动让它再进行加密。

▲ 如果加密完成，就无法取存硬盘。（Source：@0xAmit）

补充：Petya 不是 Petya？是新病毒

正当媒体及网络安全专家认为这个勒索软件是 Petya 的变种版本，Kaspersky Labs 表示，并非如此，是一种全新的病毒，只有部分 Strings 相近但执行方法不一样，Kaspersky Labs 暂时称这为 ExPetr、部分人叫做 NotPetya。

---

版权所有：Unwire HK

简化整理：宁波家电物联网云平台，极动云

CONTACT US： http://www.iot-jd.com