Petya勒索病毒專(zhuān)殺工具是一款可以查殺電腦中入侵的Petya勒索病毒的勒索病毒專(zhuān)殺軟件，在永恒之藍(lán)勒索病毒告一段落后，勒索病毒卷土重來(lái)，一款名為Petya勒索病毒再次襲來(lái)，這次的Petya勒索病毒威力驚人,用戶(hù)朋友可以提前安裝Petya勒索病毒專(zhuān)殺工具為電腦防護(hù)，本站歡迎有需要的朋友們前來(lái)下載此軟件。

使用說(shuō)明

　　1.MBR啟動(dòng)后，將1-21扇區(qū)數(shù)據(jù)復(fù)制到8000地址處，然后Jmp執(zhí)行8000地址代碼

　　2.通過(guò)讀取標(biāo)記位判斷磁盤(pán)已經(jīng)被加密

　　3.若磁盤(pán)沒(méi)有加密，則顯示偽造的檢測(cè)磁盤(pán)界面，并加密MFT

病毒簡(jiǎn)介

　　據(jù)twitter爆料，烏克蘭政府機(jī)構(gòu)遭大規(guī)模攻擊，其中烏克蘭副總理的電腦均遭受攻擊，目前騰訊電腦管家已經(jīng)確認(rèn)該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒后會(huì)掃描內(nèi)網(wǎng)的機(jī)器，通過(guò)永恒之藍(lán)漏洞自傳播到內(nèi)網(wǎng)的機(jī)器，達(dá)到快速傳播的目的。有國(guó)外安全研究人員認(rèn)為，Petya勒索病毒變種會(huì)通過(guò)郵箱附件傳播，利用攜帶漏洞的DOC文檔進(jìn)行攻擊。中毒后，病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時(shí)，病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。電腦重啟后，會(huì)顯示一個(gè)偽裝的界面，此界面實(shí)際上是病毒顯示的，界面上假稱(chēng)正在進(jìn)行磁盤(pán)掃描，實(shí)際上正在對(duì)磁盤(pán)數(shù)據(jù)進(jìn)行加密操作。

　　當(dāng)加密完成后，病毒要求受害者支付價(jià)值300美元的比特幣之后，才會(huì)回復(fù)解密密鑰。

工具簡(jiǎn)介

　　騰訊電腦管家已緊急響應(yīng)，并已經(jīng)確認(rèn)病毒樣本通過(guò)永恒之藍(lán)漏洞傳播，開(kāi)啟騰訊電腦管家不僅可以防御petya勒索病毒，還可全面防御所有已知的變種和其他勒索病毒；此外，漏洞檢測(cè)能力也得到升級(jí)，加入了NSA武器庫(kù)的防御，可以抵御絕大部分NSA武器庫(kù)泄漏的漏洞的攻擊。

傳播渠道

　　郵箱傳播

　　根據(jù)烏克蘭CERT官方消息，郵件附件被認(rèn)為該次病毒攻擊的傳播源頭，郵箱附件是一個(gè)DOC文檔，文檔通過(guò)漏洞CVE-2017-0199來(lái)觸發(fā)攻擊，電腦管家也溯源到了國(guó)內(nèi)類(lèi)似郵件攻擊最早發(fā)生在6月27日早上。在實(shí)際測(cè)試過(guò)程中，并沒(méi)有完整重現(xiàn)整個(gè)攻擊過(guò)程。

　　可能傳播渠道-MeDoc

　　很多安全研究機(jī)構(gòu)認(rèn)為，這次Petya的攻擊源是由于MeDoc軟件的更新服務(wù)被劫持導(dǎo)致。

勒索細(xì)節(jié)

　　1、系統(tǒng)重啟，惡意MBR加載；

　　2、檢測(cè)磁盤(pán)是否被加密，如果沒(méi)有則顯示偽造的檢測(cè)磁盤(pán)界面、并加密MFT；

　　3、顯示紅色的勒索界面，讓用戶(hù)輸入秘鑰；

細(xì)節(jié)分析

　　MBR啟動(dòng)后，將1-21扇區(qū)數(shù)據(jù)復(fù)制到8000地址處，然后Jmp執(zhí)行8000地址代碼

　　通過(guò)讀取標(biāo)記位判斷磁盤(pán)已經(jīng)被加密

　　若磁盤(pán)沒(méi)有加密，則顯示偽造的檢測(cè)磁盤(pán)界面，并加密MFT