软件介绍
360天引擎petya勒索病毒修复工具是一款专门用于查杀petya勒索病毒的软件,功能强大,实时检测,可以保护您的电脑免受病毒侵害,会自动帮您修复电脑中的问题!
Petya0627勒索软件漏洞修复工具介绍
30企业安全天擎团队提供的针对“Petya0627勒索软件”利用的漏洞的修复工具。运行该工具后,会自动检测系统是否存在相关漏洞,并提供修复方法。由于该漏洞会利用“永恒之蓝”漏洞进行传播,修复工具集创建了免疫文件,SMB服务被关闭,admin & # 36集成了各种系统下MS17-010的共享和漏洞检测修复。离线网络环境下一键修复系统MS17-010漏洞,从根本上解决Petya0627勒索软件“永恒之蓝”漏洞带来的安全隐患。
对于目前不支持自动打补丁的操作系统,可以根据工具提示关闭风险服务(关闭445端口,禁用smb协议,关闭admin & # 36会影响打印业务和文件共享业务)。手动安装补丁后,通过服务恢复工具恢复关闭的服务。
勒索软件简介
与传统勒索软件不同,Petya不会加密你电脑中的每个文件。而是加密的硬盘驱动器主文件表(MFT)使主引导记录(MBR)无法运行,通过占用物理磁盘上的文件名、大小、位置等信息来限制对整个系统的访问,使计算机无法启动。如果想要恢复,需要支付相当于300美元的比特币。
特点
受“永恒之蓝”漏洞影响的所有系统都在此漏洞威胁范围内。
该病毒会使用本地账号和密码登录内网其他终端进行横向传播。
为“Petya0627勒索软件”利用的漏洞提供修复工具。
雅病毒及其变种的工作原理
当我们的电脑被这种病毒入侵时,它会自动向硬盘写东西,闪现一行英文,并立即重启电脑。它闪得太快了,我没看清它是什么。此时重启PE,可以看到数据还在。但是,如果通过外部引导菜单从硬盘引导,则可以正常引导回Windows。这些特征表明Petya是一种典型的MBR引导区病毒。当它被触发时,它首先恶意写入MBR,但不破坏PBR。
因此:
只要你使用UEFI引导模式和GPT分区表,病毒就会完全失去对你电脑的影响,不会有任何影响。
但是如果你使用的是遗留引导模式(也就是MBR),你可以使用任何可能的保护软件来抵抗MBR写入。
那么如果去掉外部引导菜单,直接从硬盘的MBR引导会怎么样呢?
运行一个假的chkdsk程序,它实际上破坏了扇区。不过这个操作不是全磁盘加密,因为全磁盘加密真的需要很多时间来操作。如果您已经用BitLocker加密了整个磁盘,您应该知道加密/解密过程需要多长时间。边肖之前测试过,我复制了整个硬盘前100万扇区(约490MB)的数据进行对比,才真正开始破坏。
这个过程完成后,骷髅标志闪瞎。...
按任意键后,会进入勒索提示。我用的Petya样本是在这个洋葱网站上填写信息,但本质其实是一样的。这时,当你进入PE访问整个硬盘时,你会发现所有的磁盘都变成了RAW,无法访问。
此时,将提取损坏硬盘的前1,000,000个扇区,并与之前的备份进行比较。我们正在使用工具UltraCompare。这里可以看到,改变的主要是一直到0x00006350的所有东西,相当于28个扇区,14KB左右的数据。上面显示的更改内容是10,965,266字节,大约是10MB的数据。其实也没那么多。
总结Peta的特点,得出以下结论:
1.这是一个MBR引导区病毒;
2.类似当年的CIH,为了加快文件销毁速度,直接销毁分区表,而不是全磁盘加密;
3.但是它破坏分区表不是简单的删除分区表,而是破坏每个分区的文件系统,让系统再也无法正确读取这些磁盘的数据。所以修复分区表并不能解决这个问题。
所以要保存这些文件,可以使用任何支持从RAW分区恢复数据的主流数据恢复软件,方便的保存这些数据,比如易数科技的diskgenius,X-Ways的winhex。你可以选择在PE下使用这种数据恢复软件,或者将硬盘连接到另一台电脑上。
还有,请注意,出现这种情况后,不要使用chkdsk磁盘扫描工具修复磁盘,否则会删除这些可能还能保存的文件。
