Petya病毒全球爆发中！电脑更新过也中招（附：预防删除修复方法）

Petya 病毒全球爆发中! 比WannaCry 强电脑更新过也中招(附：预防删除修复方法)

新型勒索软件Petya 开始全球爆发，别以为上次Wannacry 事件电脑更新过就没事，今次Petya 不止用了SMBv1 漏动，更结合Windows 网络安装弱点去攻击。unwire 教各位香港Windows 用户快速解决这重大危机.

有多少机会中招 ?

目前第一波虽未及上次WannaCry 强劲但也不弱，目前英、美、法德都有超过2,000 电脑感染报告、乌克兰国家银行及电力公司都中招。受害人想解锁硬碟需支付价值$300 美元的BITCOIN ，暂时已有32 位受害者付费，总值大约$6,775 美元

电脑有更新/ Win10 也中招

即使安装了Eternalblue 漏洞(WannaCry) 的修正档亦一样中招，这是 Petya 最致命的地方。所以今次Windows 10 用家也难逃一劫。

香港公司电脑成高危，只要网络上有一台机忘记更新或修正Windows 的SMBv1 漏洞，这样Petya 便会感染那部电脑然后再利用Windows 客户端攻击(CVE--0199) ，透过WMIC 及PSEXEC在网络上的其他电脑进行安装Petya 勒索软件，只要你的电脑密码是简单组合的话，就容易被攻破。

外国有公司Network 全down 去解决

ATM 也中招

Windows 用户密码太易撞破

Petya 内置工具懂得由Windows 客户端及Domain Controller 中偷取密码情报，再加上很多香港公司的打工仔，由于公司电脑只作公事之用，没有个人私隐下很多时都忽略密码的重要性。很多人务求回到公司开机方便，都设定一些比较简单易记的密码，甚至没有设定。Petya 很容易就执行指令，直接透过网络安装到你的电脑上

Windows 突然Reboot 强制加密

有别于Wannacry ，Petya 不会在背后偷偷加密你的档案，用户不为发觉电脑变慢。它中招后一小时内静静不动，然后强制BSOD Hang 机Reboot 进行加密硬碟的MFT 及修改MBR，整个过程超快而且古惑! 加密时会装扮成扫瞄及修护硬碟，让用户不敢打断（这是Windows Hang 机后常见的事..) 完成后整颗硬碟都不能再取存，连Windows 都进不到。因此破坏力比WannaCry 强。

中招过程 :

Step 1 :

中招后电脑Hang机Reboot ，然后扮扫瞄硬碟(一见这画面立即关机)

Step 2 :

然后会提示你解锁要付$300美金的bitcoin，期间硬碟MFT被加密，不能进入Windows亦不能安装到其他电脑上作档案取存。

预防方法 :

1.更改使用复杂的Windows 密码

如上次Wannacry 爆发时你未更新电脑，请立即进行更新。另外如果你未设有登入密码或密码过于简单，请立即更改

2. 预先制作Petya Kill – Switch (必做)

跟WannaCry 一样，Petya 也有自己的Kill-Switch 自杀停止运作，制作这个KILL Switch 非常简单，但暂时只能防止目前版本，有变种的话便无效(还是建议使用强密码)

Step 1:

右按Windows Logo，选择命令提示字元(系统管理员 )

Step 2:

输入以下指令，目的为了在Windows 资料夹中(eg C:\Windows) 建立一个perfc 、perfc.dll、perfc.dat 档

cd.. (按Enter)

copy con perfc (按Enter)

(按Ctrl + Z )

(按Enter)

copy perfc perfc.dll (按Enter)

copy perfc perfc.dat (按Enter)

3. 安装MBRFilter (危急才用)

Cisco于上年写了一个叫MBRFilter的档案以防止硬碟的Sector 0写入，这可以防止Petya更改MBR以进行加密。安装这个需要有一定的IT基础。<连结>

3. 关闭WMI 服务(危急才用)

关闭了Windows 的远端安装服务，防止Petya 透过网络在你的电脑上安装(如果你电脑有使用RDP 或其他远端管理工具，关闭WMI 后有机会不能使用，Windows Security Center 也会受影响)。因此小编不建议长期关闭，只能作IT 人在用家未回到公司前，暂停扩散之用。

Step 1 :

Step 2 :

输入net stop winmgmt b（其后可用net start winmgmt重新开启服务)

中招解决方法 :

发现电脑Reboot 即关机别等

由于Petya需要Reboot后才进行加密程序，所以电脑用户发现Windows突然Hang机无故重启的话，一看到Windows Logo便立即关机。然后使用Live CD Boot机或把硬碟取出接驳到其他电脑进行清理/制作Kill Switch /备份。如果你让它加密完成的话，你的电脑会显示以下画面就暂时无法救回来了，要等待保安公司找出救援方案。

一Reboot 或见到Windows Logo 立即关机不要让它加密。关机后File 在硬碟是安全的，只要不启动让它再进行加密

假若加密完成，就无法取存硬碟

来源: twitter（微博）@xAmit

补充: Petya 不是Petya ? 是新病毒

正当传媒及保安专家认为是次勒索软件是Petya 的变种版本，Kaspersky Labs 表示这并非如此，是一种全新的病毒，只有部份Strings 相近但运行方法是不一样，Kaspersky Labs 暂叫这作ExPetr、部份人叫作是NotPetya

如果觉得《Petya病毒全球爆发中！电脑更新过也中招（附：预防删除修复方法）》对你有帮助，请点赞、收藏，并留下你的观点哦！