您的位置:
咨询服务方案
详情介绍
SOLUSTION
预警威胁,再来一次的勒索, Petwrap 勒索软件肆虐全球
来源: | 作者:engee | 发布时间: 2017-06-29 | 813 次浏览 | 分享到:

       HackerNews.cc 北京时间 28 日跟进,感染乌克兰境内多家银行、政府、电力公司、邮政、机场设施以及俄罗斯石油公司 Rosneft)的未知病毒被证实为 Petwrap 勒索软件,系 petya 勒索软件的新变种之一。(外媒一些报道中依旧称之为 petya )。

 

勒索软件全球感染范围

      到目前为止欧洲至少六国报告已中招,而受 Petwrap 灾害最严重的是乌克兰,乌克兰副总理推特称政府整个网络已经瘫痪,乌克兰电力公司网络瘫痪,切尔诺贝利核电站使用的微软系统传感器关闭,被迫人工测试辐射水平,截止 280 时仅卡巴斯基实验室就已检测到 2000 多次攻击:


仅卡巴斯基监测到的各国受 Petwrap 感染统计图(截止 280 时)

 

勒索软件 Petwrap 没有所谓的开关域名,目前尚无详细统计数据

 

勒索软件 Petwrap 如何传播

       勒索软件 Petwrap 也像 WannaCry 那样通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备,但并不会对目标系统中的所有文件逐个加密。最重要的是拥有凭据管理器的单一受感染系统能够通过 WMI PSEXEC 感染网络上的其他计算机,对局域网的威胁或比 WannaCry 更大。

       国外安全研究员指出,若 Windows 系统中存在文件 “c:windowsperfc.dat” 可触发本地 kill 开关。(仅在被感染之前起作用,但亦有研究员表示并未起效果)

(勒索软件特征、样本分析可阅读卡巴斯基最新报告)

 

文件解密的可能性

        很不幸,对于已感染勒索软件 Petwrap 的受害者而言,目前尚无解密方案。

       勒索软件 Petwrap 向受害者索取 300 美元赎金并要求将钱包号码通过邮件发送至 “wowsmith123456@posteo.net” 进行确认,这一方法确实有效然而遗憾的是,目前此邮件账号已被关闭。


我们能做什么?

究竟如何让你的计算机免疫Petwarp

要让你的计算机对NotPetywarp免疫,只需要在 C:Windows 文件夹下建立名为 perfc 的文件,并将其设为只读即可。

如果你很懒,那么可以直接执行下载这个批处理文件:https://download.bleepingcomputer.com/bats/nopetyavac.bat (来源:BleepingComputer

当然你也可以手动完成此过程,过程如下,这个教程整体还是比较弱智的,如果你已经是个老手,那么想必可以自己操作:

1.首先要设置让Windows系统显示文件扩展名。在控制面板文件夹选项视图选项卡中,找到隐藏已知文件类型的扩展名,将前面的勾去掉;


2.随后在文件管理器中打开 C:Windows 文件夹(应该是Windows系统文件夹,请按照各位自己的安装路径来选择),找到 notepad.exe 程序。


3.选择 notepad.exe 程序,键盘之上敲击 Ctrl + C(复制操作),随后 Ctrl + V(粘贴)。



4.在执行粘贴操作时,系统会询问是否授权,点击继续按钮,文件就会创建为 “notepad – 副本.exe”。然后将该文件重命名为”perfc”(不包含引号),如下图所示。


这个过程可能会弹出修改扩展名的确认对话框,选择即可;此后可能还会有对话框弹出要求权限,点击继续即可。


5.这样一来,perfc文件就建好了。最后一步要将该文件设为只读,方法也很简单。右键点击这个文件,选择右键菜单中的属性


6.在属性窗口中,将通用选项卡中最下方的只读选项打勾。点击应用、确认按钮即可。



 

 

联系方式

地址:上海市长宁区仙霞路350号14号楼科创楼408室 邮编200336


电话:021-62713620


联系邮箱:GMD@engee.com.cn