原文鏈接

繼wannacry之後，Petya勒索軟件攻擊再次席卷全球，對歐洲、俄羅斯等多國政府、銀行、電力系統、通訊系統、企業以及機場造成了不同程度的影響。

研究發現，Petya 會鎖定磁盤的 MFT 和 MBR 區，導致計算機無法啟動。除非受害者支付贖金解鎖，否則無法恢復他們的系統。但在此前的wannacry勒索軟件事件發生的時候，阿裏聚安全就建議大家不要支付贖金，一方面支付贖金後不一定能找回數據，其次這些贖金會進一步刺激攻擊者挖掘漏洞，並升級攻擊手段。

好消息是Cybereason安全研究員Amit Serper已經找到了一種方法來防止Petya （notpetya / sortapetya / petna）勒索軟件來感染電腦，這種方法簡直一勞永逸！

研究員蜂擁尋找killswitch機制

在Petya 爆發的第一時間，國內外安全研究人員們蜂擁而上對其進行分析，一開始他們認為Petya無非是新瓶裝舊酒，和其他勒索軟件相似。但在進一步研究過程中，他們發現這是一種全新的勒索蠕蟲病毒。因此它的名字從Petya逐漸變為Notpetya，Petna，以及SortaPetya。

研究員分析勒索軟件的運作機制後，發現NotPetya會搜索本地文件，如果文件已經在磁盤上存在，那麽勒索軟件就會退出加密。這意味著，受害者只需要在自己電腦上創建這個文件，並將其設置為只讀，就可以成功封鎖Notpetya勒索軟件的執行。

這種方法不能阻止勒索病毒的運行，因為它就像註射疫苗讓設備免疫病毒攻擊，而不是殺死病毒。它可以讓受害者一勞永逸，不再受到勒索軟件的感染。

這一發現就得到了 PT Security、TrustedSec、以及 Emsisoft 等安全研究機構的證實。

如何註射Notpetya//Petna/Petya疫苗

批量創建方法，適用於運維管理

在C盤的Windows文件夾下創建一個perfc文件，並設置為只讀。對於那些想要快速創建文件的人，Lawrence Abrams演示了批量創建文件的步驟。請註意，批量創建文件的同時還需要創建perfc.dat和perfc.dll兩個文件。

批量文件處理工具下載地址：https://download.bleepingcomputer.com/bats/nopetyavac.bat

手動創建方法，適用於個人

1、首先，在 Windows 資源管理器中去除“隱藏已知文件類型的擴展名”的勾選（文件夾選項 -> 查看 ->隱藏已知文件類型的擴展名）

2、打開 C:Windows文件夾，選中記事本（notepad.exe）程序，復制並粘貼它的副本。粘貼文件時，可能需要賦予管理員權限。

3、將 notepad（副本）.exe重命名為perfc，記得擴展名也去掉。

4、右鍵選中該文件，點擊屬性，在彈出的文件屬性對話框中，將其設置為“只讀”

創建好文件後，建議同時創建在C盤的Windows文件夾下創建perfc.dat和perfc.dll。

此方法來源於bleepingcomputer，原文地址：https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

---------------------------------------------

阿裏聚安全編譯，更多安全類熱點及知識分享，請關註阿裏聚安全的官方博客

原文鏈接

Petya勒索病毒疫苗出現_分分鐘讓電腦對病毒免疫