繼wannacry之后,Petya勒索軟件攻擊再次席卷全球,對歐洲、俄羅斯等多國政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場造成了不同程度的影響。
研究發(fā)現,Petya 會鎖定磁盤的 MFT 和 MBR 區(qū),導致計算機無法啟動。除非受害者支付贖金解鎖,否則無法恢復他們的系統(tǒng)。但在此前的wannacry勒索軟件事件發(fā)生的時候,阿里聚安全就建議大家不要支付贖金,一方面支付贖金后不一定能找回數據,其次這些贖金會進一步刺激攻擊者挖掘漏洞,并升級攻擊手段。
好消息是Cybereason安全研究員Amit Serper已經找到了一種方法來防止Petya (notpetya / sortapetya / petna)勒索軟件來感染電腦,這種方法簡直一勞永逸!
研究員蜂擁尋找killswitch機制
在Petya 爆發(fā)的第一時間,國內外安全研究人員們蜂擁而上對其進行分析,一開始他們認為Petya無非是新瓶裝舊酒,和其他勒索軟件相似。但在進一步研究過程中,他們發(fā)現這是一種全新的勒索蠕蟲病毒。因此它的名字從Petya逐漸變?yōu)镹otpetya,Petna,以及SortaPetya。
研究員分析勒索軟件的運作機制后,發(fā)現NotPetya會搜索本地文件,如果文件已經在磁盤上存在,那么勒索軟件就會退出加密。這意味著,受害者只需要在自己電腦上創(chuàng)建這個文件,并將其設置為只讀,就可以成功封鎖Notpetya勒索軟件的執(zhí)行。
這種方法不能阻止勒索病毒的運行,因為它就像注射疫苗讓設備免疫病毒攻擊,而不是殺死病毒。它可以讓受害者一勞永逸,不再受到勒索軟件的感染。