※ 引述《imasa (便當俠)》之銘言：
: https://goo.gl/CB4HE6
: According to several sources
: the author of this new Petya strain appears to have taken inspiration from
: last month's WannaCry outbreak, and added a similar SMB work based on the
: NSA's ETERNALBLUE exploit. This has been confirmed by
: Payload Security, Avira, Emsisoft, Bitdefender, Symantec,
: and other security researchers.
: 一樣是利用之前SMB漏洞EternalBlue的勒索病毒
: 看來是受到Wannacry的啟發
https://blog.kryptoslogic.com/malware/2017/06/28/petya.html
目前為止的分析文
除了原本的EternalBlue感染方式外
Petya還加上利用Psexec和Wmic的Laternal Movement手法
去執行mimikatz 來dump 當前電腦的credential
之所以更新還會中招的電腦
就是因為自己的credenial有在這些被感染的電腦內
更新防範方式：
[短期]
先擋目前這波的Petya
在以下路徑下新增檔案並設唯讀
C:\Windows\perfc
C:\Windows\perfc.dll
C:\Windows\perfc.dat
這幾個路徑是Petya的工作檔案，如果檔案讀取失敗Petya就會停止執行
可能對之後的變種無效
[長期]
1. Firewall阻擋139和445 port (for psexec)
2. 停用Winmgmt(Windows Management Instrumentation)服務 (for wmic)
3. 停用SMBv1或更新MS17-010 patch

這個要怎麼防範呢

FW連入規則 關閉445

推

能解釋一下 1.2項後的for wmic跟psexec 是什麼意思？

請問 停用Winmgmt是否會影響電腦運作? 查了一下好像是什麼重要的系統服務? 不很是懂... @@

關掉WMI不會有什麼副作用嗎

for wmic跟psexec是指針對Petya的這個感染途徑關掉WMI會有很多副作用，不少合法服務依賴他運作所以請自己評估

WMI主要作用在於可容許遠端登入電腦讀取系統服務資訊或執行某些指令

帳戶沒有密碼控制的話WMI應該不會運作吧?

Petya是用工具找出登入受害者電腦的帳號密碼的所以一台伺服器受感染，其他有存取這台機器的人都可能中招

謝謝提供防範方法剛剛把WMI關閉 發現RDP還是可以用 只有security center會被關閉

security center被關閉會有什麼影響嗎

卡巴斯基不是已經說這波跟 Petya 是不同的嗎? 叫Expetr

WMI下面依存的是ICS和IP Helper

Win10會中嗎

目前看起來機率應該會比win7或XP小，但就不表示沒有中獎的可能性，最好還是可以先依照原PO說法關閉相關功能吧！另外

Security Center本身並沒有任何防護能力 而是檢查firewall和防毒有無安裝開啟

也可參考香港電腦保安事故協調中心(HKCERT)所提供防範措施說法 https://goo.gl/9mmvx6

阻止psexec: https://bit.ly/2slYkmH

謝謝sam613大分享 依guyrleech的建議做成一個reg檔 點兩下即完成阻止psexec的登錄https://sendit.cloud/yzydvuyikn8e

樓上大大做的下載後執行就可以了嗎？謝謝～

是的

感謝^^

長期措施只做第一項和第三項，沒停用WMI的話是否依舊會中招?

其實就是關閉共享放棄區域網路比較麻煩的是很多宿舍內網本身就有問題而用戶還是習慣關牆關防毒.要架區網建議改用有密碼的hfs分享吧

推這篇專業

謝謝分享