0

我的帖子

个人中心

设置

  发新话题
该病毒的流行程度已经不用和大家介绍了吧,目前世界上各反编译大神们都在积极的逆向该病毒程序。


根据最新的研究成果。Petya 也有自己的 Kill-Switch (自动停止运行判断),一个简单的方法可以有效的终止病毒的执行。
注意:这里是防止程序运行,而不是预防感染。


方法如下:



没错,就是使用cmd(管理员权限)在 windows目录下创建
perfc和perfc.dat、perfc.dll文件
结果如下:


注意红框中的perfc.dll目前是有争议的,因为一些反编译高手认为起作用的是perfc.dat而不是perfc.dll.但是为了保险起见,多创建一个文件也没什么不妥当。


再次说明:
1、该方法只能预防当前的病毒版本,无法预防今后的变种
2、该方法是预防程序启动,而不是阻断感染


该病毒的感染方式仍然是利用 Windows 的 SMBv1 漏洞,感染机再利用 Windows 客戶端攻擊 (CVE-2017-0199) 通过 WMIC 及 PSEXEC继续攻击。如果是弱口令,被攻击的几率是100%


所以补丁该打还是要打,其次要强制修改系统管理员密码为强口令。



本帖最近评分记录
  • redhat9i 无忧币 +50 送你一次抽奖币 2017-6-28 15:45



本帖最后由 z00w00 于 2017-6-28 14:47 编辑
大神么都上来冒泡了



51CTO信息安全交流群:143484449 入群请说明论坛ID
学习一下,安全策略多一个总比少一个好。



能做逆向反编译的才是大神。我们只是分享大神的劳动成果。



一剑舞动惊四方,IT本是我所长 ®丁胖胖
难得胖哥来病毒版啊



菜刀在手,问天下谁是英雄


哎。。。中奖了



最近不太平啊



心有多大,舞台就有多大!
高手指点!!!1
11.JPG (82.35 KB)

2017-6-28 21:42

11.JPG




引用:
原帖由 gjnet 于 2017-6-28 17:20 发表
343275

哎。。。中奖了
真假?什么系统版本中的毒,局域网内其他电脑有没有影响?



学习了早期预防最好!



引用:
原帖由 wtury 于 2017-6-28 21:42 发表
高手指点!!!1
方法有两种:
第一种,手工删除

第一步,卸载服务
打开“控制面板”-程序“卸载程序”
然后找到“maykolin1234@aol.c
om”这个程序,选择卸载
第二部,卸载浏览器插件 以chrome浏览器举例
主菜单-更多工具-扩展程序
然后卸载 maykolin1234@aol.com 插件
第三部,修改注册表
键值如下:
HKLM\SOFTWARE\Classes\AppID\<random>.exe
HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start Page Redirect=”http://<random>.com”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\virus name
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%AppData%\<maykolin1234@aol.com Virus>.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ‘Random’HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

以上步骤适合对系统有深入了解的人
第二种,工具修复
第一步,清理病毒,强烈建议使用如下工具清理,SpyHunter

https://www.enigmasoftware.com/products/spyhunter/
第二步,修复损坏的文件
使用
Stellar Phoenix Windows Data Recovery http://devcdn.avanquest.com/rw/Stellar_WinDataRecovery_Home.exe

最后一步,找回重要的文件如使用Data Recovery Pro

祝好运
注:软件都为商业软件,可自行寻找好用的版本




本帖最后由 z00w00 于 2017-6-29 09:28 编辑
一剑舞动惊四方,IT本是我所长 ®丁胖胖
我打补丁了



版主,并不是一种荣耀,而是一种坚持和责任!
学习了



这个方法不错。。。尝试一下。



学习一下防御方法。



学习啊啊啊啊啊啊啊啊啊啊啊啊啊啊



引用:
原帖由 z00w00 于 2017-6-28 14:45 发表
该病毒的流行程度已经不用和大家介绍了吧,目前世界上各反编译大神们都在积极的逆向该病毒程序。


根据最新的研究成果。Petya 也有自己的 Kill-Switch (自动停止运行判断),一个简单的方法可以有效的终止病毒的执行。
注 ...
跟组策略限制软件功能差不多,下个杀毒软件保险点



‹‹ 上一贴:赛门铁克禁止IP 600秒   |   下一贴:今天早上突然好几台电脑出现网络一会掉下,怀疑感染ARP ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com