研究人员发现NotPetya勒索软件竟然也存在开关

免费在线PDF转换器/编辑器、文档模板、思维导图,点击查看

昨夜开始在欧洲爆发的新型勒索软件 Petya正在利用 RTF 和永恒之蓝漏洞进行大肆传播感染及加密用户文件。

巧合的是研究人员发现这个新勒索软件也存在开关可以控制软件在感染用户设备之后是否继续加密用户文件。

当关闭这个开关后即使再次感染了这个勒索软件也不会出现任何影响, 勒索软件的所有预设工作都将会停止。

目前这个勒索软件已经收到了36笔共计3.638个比特币, 这些比特币按当前市价来算折合人民币约6,4000元。

和 WannaCry 相比这个新勒索软件功能更强且手段更极端,在感染之后会加密NTFS分区及复写MBR分区表。

同时该勒索软件还会释放某个组件用于搜索计算机凭据管理器可能存在的账号以及密码等用来窃取账号信息。

有兴趣的话可以按如下操作激活开关:

1、请点击链接将Perfc下载到你的桌面上,下载地址:https://dl.lancdn.com/landian/ransomware/perfc

2、请打开任意文件夹并双击文件夹地址栏再填写这个内容 %windir% 然后按回车即可打开当前系统盘目录。

3、将桌面上刚刚下载好的Perfc文件直接拖动到这个文件里,如下图所示:

研究人员发现NotPetya勒索软件竟然也存在开关

4、鼠标右键点击Perfc文件然后点击弹出菜单栏最下方的属性按钮:

研究人员发现NotPetya勒索软件竟然也存在开关

5、最后在属性里勾选只读然后点击确定即可,这样子即使不幸感染了这个勒索病毒也不会加密你的文件了。

研究人员发现NotPetya勒索软件竟然也存在开关

本文来源 0xAmit,由 山外的鸭子哥 整理编辑,其版权均为 0xAmit 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

4 条评论,访客:4 条,站长:0 条
  1. 鸭子哥草粉吗
    鸭子哥草粉吗发布于: 
    Google Chrome 60.0.3112.7 Google Chrome 60.0.3112.7 Windows 10 64位版 Windows 10 64位版

    万一病毒制作者改变这个开关,改为识别有该文件就加密怎么办

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 59.0.3071.115 Google Chrome 59.0.3071.115 Windows 10 64位版 Windows 10 64位版

      改不了 想让一个病毒成功爆发并不容易 况且你这个不带联网的 已经脱离控制了

  2. 繁星天
    繁星天发布于: 
    Google Chrome 59.0.3071.109 Google Chrome 59.0.3071.109 Windows 10 64位版 Windows 10 64位版

    只是要一个C:\Windows\perfc这个文件无法写入就会停止么?

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 59.0.3071.115 Google Chrome 59.0.3071.115 Windows 10 64位版 Windows 10 64位版

      只要检测到还有该文件就停止

发表评论