Archives

Authors

Recently Active Members

Profile picture of 智能大叔
Profile picture of lofan888
Profile picture of Martin
Profile picture of Swen Hoss
Profile picture of myway
Profile picture of mik7k
Profile picture of Man He
Profile picture of Eva
Profile picture of Chris
Profile picture of Aaron
Profile picture of Bryan

飲飲食食

保健產品

勒索軟件 Petya Ransomware

petya-screen

又來了, 昨晚新聞開始報告: 新型勒索軟件 Petya 開始全球爆發, 今次 Petya 不止用了 SMBv1 (MS17-010 Eternal Blue exploit ) 漏動,更結合 Windows 網絡安裝弱點去攻擊。
所以不要為上次 Wannacry 事件電腦更新左CVE-2017-0144 就沒事,電腦PC有更新了上次個 Eternalblue 漏洞 (WannaCry) 的修正檔(patch)亦一樣中招, Petya是透過 WMIC 及 PSEXEC在網絡上的其他電腦進行安裝 Petya 勒索軟件,只要你的電腦密碼(password)是簡單組合的話,就容易被攻破。

所以只要網絡上有一台機忘記更新或修正 Windows 的 SMBv1 漏洞,這樣 Petya 便會感染那部電腦然後再利用 Windows 客戶端攻擊 (CVE-2017-0199) ,

Petya 內置工具懂得由 Windows 客戶端及 Domain Controller 中偷取密碼情報,再加上很多香港公司的電腦密碼都可以是password,很多人務求開機方便,都會設定一些比較簡單易記的密碼,甚至沒有設定。Petya 很容易就執行指令,直接透過網絡安裝到你的電腦上

預防方法 :
如果你部電腦的密碼是簡單易記, 請立即更改使用複雜的密碼,
如上次 Wannacry 爆發時你未更新電腦,請立即進行更新(Patch) 。另外如果你未設有登入密碼或密碼過於簡單,請立即設定電腦的密碼

Petya 發作時,Windows 會突然 Reboot 強制加密 (有人叫不要reboot電腦防止加密硬碟!) , 不像 Wannacry ,Petya 不會在背後偷偷加密你的檔案,用戶不易發覺電腦變慢。它中招後一小時內靜靜超革命,然後強制 BSOD Hang 機 Reboot 進行加密硬碟的 MFT 及修改 MBR,整個過程超快而且古惑 ! 加密時會裝扮成掃瞄及修護硬碟,讓用戶不敢打斷(這是 Windows Hang 機後常見的事..) 完成後整顆硬碟都不能再取存,連 Windows 都進不到。

Update: 有人出了解密方法:

下載Petya Sector Extractor,解密方法詳情