※ 引述《imasa (便当侠)》之铭言：
: https://goo.gl/CB4HE6
: According to several sources
: the author of this new Petya strain appears to have taken inspiration from
: last month's WannaCry outbreak, and added a similar SMB work based on the
: NSA's ETERNALBLUE exploit. This has been confirmed by
: Payload Security, Avira, Emsisoft, Bitdefender, Symantec,
: and other security researchers.
: 一样是利用之前SMB漏洞EternalBlue的勒索病毒
: 看来是受到Wannacry的启发
https://blog.kryptoslogic.com/malware/2017/06/28/petya.html
目前为止的分析文
除了原本的EternalBlue感染方式外
Petya还加上利用Psexec和Wmic的Laternal Movement手法
去执行mimikatz 来dump 当前电脑的credential
之所以更新还会中招的电脑
就是因为自己的credenial有在这些被感染的电脑内
更新防范方式：
[短期]
先挡目前这波的Petya
在以下路径下新增档案并设唯读
C:\Windows\perfc
C:\Windows\perfc.dll
C:\Windows\perfc.dat
这几个路径是Petya的工作档案，如果档案读取失败Petya就会停止执行
可能对之后的变种无效
[长期]
1. Firewall阻挡139和445 port (for psexec)
2. 停用Winmgmt(Windows Management Instrumentation)服务 (for wmic)
3. 停用SMBv1或更新MS17-010 patch

这个要怎么防范呢

FW连入规则 关闭445

推

能解释一下 1.2项后的for wmic跟psexec 是什么意思？

请问 停用Winmgmt是否会影响电脑运作? 查了一下好像是什么重要的系统服务? 不很是懂... @@

关掉WMI不会有什么副作用吗

for wmic跟psexec是指针对Petya的这个感染途径关掉WMI会有很多副作用，不少合法服务依赖他运作所以请自己评估

WMI主要作用在于可容许远端登入电脑读取系统服务资讯或执行某些指令

帐户没有密码控制的话WMI应该不会运作吧?

Petya是用工具找出登入受害者电脑的帐号密码的所以一台服务器受感染，其他有存取这台机器的人都可能中招

谢谢提供防范方法刚刚把WMI关闭 发现RDP还是可以用 只有security center会被关闭

security center被关闭会有什么影响吗

卡巴斯基不是已经说这波跟 Petya 是不同的吗? 叫Expetr

WMI下面依存的是ICS和IP Helper

Win10会中吗

目前看起来机率应该会比win7或XP小，但就不表示没有中奖的可能性，最好还是可以先依照原PO说法关闭相关功能吧！另外

Security Center本身并没有任何防护能力 而是检查firewall和防毒有无安装开启

也可参考香港电脑保安事故协调中心(HKCERT)所提供防范措施说法 https://goo.gl/9mmvx6

阻止psexec: https://bit.ly/2slYkmH

谢谢sam613大分享 依guyrleech的建议做成一个reg档 点两下即完成阻止psexec的登录https://sendit.cloud/yzydvuyikn8e

楼上大大做的下载后执行就可以了吗？谢谢～

是的

感谢^^

长期措施只做第一项和第三项，没停用WMI的话是否依旧会中招?

其实就是关闭共享放弃局域网路比较麻烦的是很多宿舍内网本身就有问题而用户还是习惯关墙关防毒.要架区网建议改用有密码的hfs分享吧

推这篇专业

谢谢分享