360天擎petya勒索病毒修復(fù)工具是個(gè)專門用來查殺petya勒索病毒的軟件，功能性強(qiáng)，實(shí)時(shí)檢測，能夠很好的保護(hù)你的電腦不受病毒的侵害，并且還會自動幫你修復(fù)電腦中的問題！

Petya0627勒索病毒漏洞修復(fù)工具介紹

360企業(yè)安全天擎團(tuán)隊(duì)提供的針對“Petya0627勒索病毒”所利用漏洞的修復(fù)工具。運(yùn)行該工具后，會自動檢測系統(tǒng)是否存在相關(guān)漏洞，并提供修復(fù)方法。 由于該漏洞會使用“永恒之藍(lán)”漏洞進(jìn)行傳播，修復(fù)工具集創(chuàng)建免疫文件、SMB服務(wù)關(guān)閉、admin$共享關(guān)閉和各系統(tǒng)下MS17-010漏洞檢測與修復(fù)于一體。可在離線網(wǎng)絡(luò)環(huán)境下一鍵式修復(fù)系統(tǒng)存在的MS17-010漏洞，根本解決Petya0627勒索病毒利用“永恒之藍(lán)”漏洞帶來的安全隱患。

對于目前不支持自動打補(bǔ)丁的操作系統(tǒng)，可以按照工具提示關(guān)閉風(fēng)險(xiǎn)服務(wù)（關(guān)閉445端口，禁用smb協(xié)議，關(guān)閉admin$會導(dǎo)致打印業(yè)務(wù)、文件共享業(yè)務(wù)受到影響）。等手動安裝完補(bǔ)丁后，通過服務(wù)恢復(fù)工具恢復(fù)被關(guān)閉的服務(wù)。

勒索病毒簡介

Petya和傳統(tǒng)的勒索軟件不同，不會對電腦中的每個(gè)文件都進(jìn)行加密，而是通過加密硬盤驅(qū)動器主文件表(MFT)，使主引導(dǎo)記錄(MBR)不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限制對完整系統(tǒng)的訪問，從而讓電腦無法啟動。如果想要恢復(fù)，需要支付價(jià)值相當(dāng)于300美元的比特幣。

特色

受“永恒之藍(lán)”漏洞影響的系統(tǒng)均在該漏洞威脅范圍之內(nèi)。

該病毒會使用本機(jī)賬號和密碼登錄內(nèi)網(wǎng)其他終端進(jìn)行橫向傳播。

提供的針對“Petya0627勒索病毒”所利用漏洞的修復(fù)工具。

petya病毒及變種的工作原理

當(dāng)我們的電腦被本病毒入侵以后，它會自動往硬盤寫入一些東西，閃過一行英文之后就立即重啟電腦了。（閃的速度太快了我沒看清楚是什么內(nèi)容），這個(gè)時(shí)候重啟進(jìn)PE，可以看到數(shù)據(jù)還在這里。但是如果通過外界的啟動菜單來從硬盤啟動，又可以正常啟動回Windows。從這些特性說明，Petya是典型的MBR引導(dǎo)區(qū)病毒，觸發(fā)的時(shí)候首先惡意寫入了MBR，但不破壞PBR。

因此：

只要你使用的是UEFI啟動方式且為GPT分區(qū)表，該病毒對你的電腦就徹底失去作用，不會有任何影響。

但如果你用的是Legacy啟動方式（也就是MBR），你可以使用任何可能的防護(hù)軟件抵御MBR寫入動作。

那么如果撤去外界啟動菜單直接從硬盤的MBR啟動會發(fā)生什么呢？

運(yùn)行一個(gè)假的chkdsk程序，實(shí)際上這個(gè)操作是破壞扇區(qū)。不過，此操作并非全盤加密，因?yàn)槿P加密真正操作起來相當(dāng)費(fèi)時(shí)。如果你用過BitLocker全盤加密的話，應(yīng)該知道加密/解密過程需要花多長時(shí)間。小編在之前事先測試了一次，并在真正開始破壞之前我復(fù)制了整個(gè)硬盤的前1000000個(gè)扇區(qū)的數(shù)據(jù)（大概490MB）用于對比。

這個(gè)過程跑完之后，就是閃瞎眼的骷髏標(biāo)志……

按下任意鍵之后，就進(jìn)入了勒索提示。我使用的這種Petya樣本是將信息填寫到這個(gè)onion網(wǎng)站上的，不過本質(zhì)其實(shí)是一樣的。在這個(gè)時(shí)候，你進(jìn)入PE訪問整個(gè)硬盤，你會發(fā)現(xiàn)磁盤全部變成RAW無法訪問。

這個(gè)時(shí)候?qū)⒈黄茐牡挠脖P的前1000000個(gè)扇區(qū)提取出來，和之前備份的進(jìn)行對比。我們使用的是UltraCompare這個(gè)工具。我們這里可以看到，發(fā)生變化的主要是一直到0x00006350區(qū)段的所有內(nèi)容，換算一下大概是28扇區(qū)，14KB的數(shù)據(jù)量。而上面顯示，發(fā)生變化的內(nèi)容有10965266字節(jié)，也大概是10MB的數(shù)據(jù)量，實(shí)際上遠(yuǎn)沒有這么多。

綜上所述Petya的特征得出以下結(jié)論：

1、它是一種MBR引導(dǎo)區(qū)病毒；

2、類似當(dāng)年的CIH，為了加快破壞文件速度，它不使用全盤加密而是直接破壞的分區(qū)表；

3、但是，它破壞分區(qū)表并不是簡單地刪除分區(qū)表，而是破壞了每個(gè)分區(qū)的文件系統(tǒng)，導(dǎo)致系統(tǒng)無法再正確讀取這些磁盤的數(shù)據(jù)，因此也無法靠修復(fù)分區(qū)表來解決此問題。

因此，想救回這些文件，你可以使用任何主流的支持從RAW分區(qū)恢復(fù)數(shù)據(jù)的數(shù)據(jù)恢復(fù)軟件來很方便地救回這些數(shù)據(jù)，比如說易數(shù)科技的diskgenius、X-Ways的winhex。你可以選擇在PE下使用這類數(shù)據(jù)恢復(fù)軟件，也可以選擇將硬盤外接到別的電腦上來使用。

另外特別說明，這種情況出現(xiàn)之后，不要使用chkdsk磁盤掃描工具來修復(fù)磁盤，否則它會刪除這些你還可能救得回來的文件。