我读到您可以通过创建文件来防止病毒加密数据perfc:
Positive Technologies专家发现了 Petya 的本地“ 终止开关”,您可以通过创建文件C:\Windows\perfc (perfc是没有扩展名的文件)来停止勒索软件。
以及从Microsoft网站安装补丁。
除了想当然的措施(不要打开晦涩的链接/电子邮件等)之外,还有其他预防措施吗?
RError.com
创建一个 perfc 文件
在攻击时,Petya查找文件C:\Windows\perfc。如果计算机上已经存在这样的文件,那么病毒就会完成它的工作而不会被感染。
要创建这样的文件来防止Petya,您可以使用通常的“记事本”。专家还建议将文件设置为只读,这样病毒就无法对其进行更改。
WMIC 和 PSEXEC
该病毒通过WMIC和PSEXEC 服务传播。要禁用WMIC服务,请在命令提示符 ( cmd.exe )中运行以下命令:
更多详细信息:https ://msdn.microsoft.com/enus/enus/library/aa826517(v=vs.85).aspx
安装安全补丁
该病毒还通过 Windows 漏洞 CVE-2017-0199 和 CVE-2017-0144 传播。建议安装关闭它们的安全补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE -2017-0144
不仅要为Windows安装安全补丁,还要为Microsoft Office安装安全补丁。
还需要安装补丁来关闭之前为 WannaCry 利用的漏洞:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
更新防病毒签名
杀毒软件特征库更新时间为06/27/2017,不早于20:00。
禁用 TCP 端口
如果网络上已经有受感染的工作站或服务器,请禁用 TCP 端口 1024-1035、135 和 445。
禁用 SMB 协议
如果无法安装安全更新,请在工作站和服务器上禁用SMB v1/v2/v3协议。
了解更多: https: //support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
设置攻击拦截
如果有NGFW / NGTP / IPS等保护措施,请配置阻止利用 EternalBlue (MS17-010) 的攻击。
如果确实发生感染
系统关闭
如果确实发生了感染,那么根据网络上的一些出版物,一旦出现来自病毒的消息,立即紧急关闭机器会有所帮助。这样的话,他就没有时间加密电脑上的文件了。
阅读更多:https ://twitter.com/hackerfantastic/status/879775570766245888
不要转账
在任何情况下都不要向入侵者的账户转账,他们的电子邮件会被封锁,而且在任何情况下您都无法通过这种方式恢复数据。
我会为那些有AD的人添加建议
更改域管理员密码,不要在用户计算机上再次输入
病毒传播的方式之一是通过存储在系统中的域管理员密码的哈希值。
关闭 NTLM 协议
只要攻击者可以在 NTLM 和 Kerberos 之间做出选择,后者的所有高级安全性就毫无意义。