又來了, 昨晚新聞開始報告: 新型勒索軟件 Petya 開始全球爆發, 今次 Petya 不止用了 SMBv1 (MS17-010 Eternal Blue exploit ) 漏動,更結合 Windows 網絡安裝弱點去攻擊。
所以不要為上次 Wannacry 事件電腦更新左CVE-2017-0144 就沒事,電腦PC有更新了上次個 Eternalblue 漏洞 (WannaCry) 的修正檔(patch)亦一樣中招, Petya是透過 WMIC 及 PSEXEC在網絡上的其他電腦進行安裝 Petya 勒索軟件,只要你的電腦密碼(password)是簡單組合的話,就容易被攻破。
所以只要網絡上有一台機忘記更新或修正 Windows 的 SMBv1 漏洞,這樣 Petya 便會感染那部電腦然後再利用 Windows 客戶端攻擊 (CVE-2017-0199) ,
Petya 內置工具懂得由 Windows 客戶端及 Domain Controller 中偷取密碼情報,再加上很多香港公司的電腦密碼都可以是password,很多人務求開機方便,都會設定一些比較簡單易記的密碼,甚至沒有設定。Petya 很容易就執行指令,直接透過網絡安裝到你的電腦上
預防方法 :
如果你部電腦的密碼是簡單易記, 請立即更改使用複雜的密碼,
如上次 Wannacry 爆發時你未更新電腦,請立即進行更新(Patch) 。另外如果你未設有登入密碼或密碼過於簡單,請立即設定電腦的密碼
Petya 發作時,Windows 會突然 Reboot 強制加密 (有人叫不要reboot電腦防止加密硬碟!) , 不像 Wannacry ,Petya 不會在背後偷偷加密你的檔案,用戶不易發覺電腦變慢。它中招後一小時內靜靜超革命,然後強制 BSOD Hang 機 Reboot 進行加密硬碟的 MFT 及修改 MBR,整個過程超快而且古惑 ! 加密時會裝扮成掃瞄及修護硬碟,讓用戶不敢打斷(這是 Windows Hang 機後常見的事..) 完成後整顆硬碟都不能再取存,連 Windows 都進不到。
Update: 有人出了解密方法:
下載Petya Sector Extractor,解密方法詳情
