В течение последних 48 часов мы были проинформированы о выкупе Пети, подобном выкупу «Wanna Cry». Оба пакета ransomware шифруют ваши данные и требуют $ 300, чтобы разблокировать ваши данные. Однако в случае с Petya Германия закрыла адрес электронной почты, чтобы ответить, поэтому вы не можете заплатить, даже если хотите.
В отличие от «Wanna Cry», в котором был включен глобальный kill-switch в течение 72 часов случайно «Петя» требует, чтобы вы создали локальный файл, чтобы остановить шифрование данных, однако вы все еще заражены и можете передавать выкуп в другие системы.
Я читал в истории «Wanna Cry» вам нужно создать файл C:\Windows\perfc и пометить его как доступный только для чтения, чтобы защитить вашу систему. Это будет включать пользователей Linux, использующих wine, я полагаю. Однако:
в разделе комментариев пользователь должен указать имя файла C:\Windows\perfc.exe. в Ransomware Vaccine Now Доступно, что имя файла должно быть C:\Windows\perfc.dll.Может ли кто-нибудь подтвердить, что пользователи Linux Wine являются потенциальными жертвами и что такое фактическое имя только для чтения?
Я запустил его ... Как я и обещал, я установил вино на виртуальную машину Debian, получил образец Petya, запустил их напрямую и использовал: rundll32 path,#1, с обычным и корневым пользователем, и ничего не случилось с моей виртуальной машиной или его MBR.
Я запустил его ... Пети использует эксплойт Eternal Blue и классические методы распространения сети SMB.
Связанная CVE этой уязвимости для Linux: «CVE-2017-7494», которая уже исправлена:
Является ли мой Ubuntu уязвимым для SambaCry?
[d10 ] perfc и perfc.dat: Symantec заявляет, что Petya создает файл «C: \ Windows \ perfc», чтобы указать, что компьютер был заражен, а «perfc.dat» - тот, который он использует для выполнения.Чтобы остановить petya, вы должны создать файл только для чтения: «C: \ Windows \ perfc.dat», поэтому petya не может писать и выполнять сам.
И «C: \ Windows \ perfc «это какой-то выключатель, если« Петя »запускается, увидев этот файл, он считает ваш компьютер зараженным и пытается заразить другую сеть d
perfc and perfc.dat: : После заражения он пытается изменить MBR. MBR имеет три раздела: таблицу разделов, загрузочный код, магический код. путем изменения загрузочного кода он может захватить процесс загрузки, поэтому вместо загрузки загрузчика вы увидите сообщение, и за этим сообщением он начнет полное шифрование диска, перед окончательным сообщением кажется, что petya запускает полное шифрование диска, пока он показывает поддельный контрольный диск.
С помощью «вина» он не может изменить ваш MBR (если вы не запускаете вино с использованием sudo), он просто пытается заразить другие устройства.
Он также использует шифрование пользовательского модема , для этой цели после заражения он ищет определенные расширения во всех дисках и начинает шифровать первые 1 МБ из них.
Итак, кажется, что вам не о чем беспокоиться, если вы не запускаете его самостоятельно, используя доступ к вину и корню.
Я запустил его ... Как я и обещал, я установил вино на виртуальную машину Debian, получил образец Petya, запустил их напрямую и использовал: rundll32 path,#1, с обычным и корневым пользователем, и ничего не случилось с моей виртуальной машиной или его MBR.
Я запустил его ... Пети использует эксплойт Eternal Blue и классические методы распространения сети SMB.
Связанная CVE этой уязвимости для Linux: «CVE-2017-7494», которая уже исправлена:
Является ли мой Ubuntu уязвимым для SambaCry?
perfc и perfc.dat: Symantec заявляет, что Petya создает файл «C: \ Windows \ perfc», чтобы указать, что компьютер был заражен, а «perfc.dat» - тот, который он использует для выполнения.
Чтобы остановить petya, вы должны создать файл только для чтения: «C: \ Windows \ perfc.dat», поэтому petya не может писать и выполнять сам.
И «C: \ Windows \ perfc «это какой-то выключатель, если« Петя »запускается, увидев этот файл, он считает ваш компьютер зараженным и пытается заразить другую сеть d
perfc and perfc.dat: : После заражения он пытается изменить MBR. MBR имеет три раздела: таблицу разделов, загрузочный код, магический код. путем изменения загрузочного кода он может захватить процесс загрузки, поэтому вместо загрузки загрузчика вы увидите сообщение, и за этим сообщением он начнет полное шифрование диска, перед окончательным сообщением кажется, что petya запускает полное шифрование диска, пока он показывает поддельный контрольный диск.
С помощью «вина» он не может изменить ваш MBR (если вы не запускаете вино с использованием sudo), он просто пытается заразить другие устройства.
Он также использует шифрование пользовательского модема , для этой цели после заражения он ищет определенные расширения во всех дисках и начинает шифровать первые 1 МБ из них.
Итак, кажется, что вам не о чем беспокоиться, если вы не запускаете его самостоятельно, используя доступ к вину и корню.
Я запустил его ... Как я и обещал, я установил вино на виртуальную машину Debian, получил образец Petya, запустил их напрямую и использовал: rundll32 path,#1, с обычным и корневым пользователем, и ничего не случилось с моей виртуальной машиной или его MBR.
Я запустил его ... Пети использует эксплойт Eternal Blue и классические методы распространения сети SMB.
Связанная CVE этой уязвимости для Linux: «CVE-2017-7494», которая уже исправлена:
Является ли мой Ubuntu уязвимым для SambaCry?
perfc и perfc.dat: Symantec заявляет, что Petya создает файл «C: \ Windows \ perfc», чтобы указать, что компьютер был заражен, а «perfc.dat» - тот, который он использует для выполнения.
Чтобы остановить petya, вы должны создать файл только для чтения: «C: \ Windows \ perfc.dat», поэтому petya не может писать и выполнять сам.
И «C: \ Windows \ perfc «это какой-то выключатель, если« Петя »запускается, увидев этот файл, он считает ваш компьютер зараженным и пытается заразить другую сеть d
perfc and perfc.dat: : После заражения он пытается изменить MBR. MBR имеет три раздела: таблицу разделов, загрузочный код, магический код. путем изменения загрузочного кода он может захватить процесс загрузки, поэтому вместо загрузки загрузчика вы увидите сообщение, и за этим сообщением он начнет полное шифрование диска, перед окончательным сообщением кажется, что petya запускает полное шифрование диска, пока он показывает поддельный контрольный диск.
С помощью «вина» он не может изменить ваш MBR (если вы не запускаете вино с использованием sudo), он просто пытается заразить другие устройства.
Он также использует шифрование пользовательского модема , для этой цели после заражения он ищет определенные расширения во всех дисках и начинает шифровать первые 1 МБ из них.
Итак, кажется, что вам не о чем беспокоиться, если вы не запускаете его самостоятельно, используя доступ к вину и корню.