免疫工具功能和使用介紹

Petya免疫工具是用于Internet上出現的Windows操作系統勒索軟件的免疫修復工具。該勒索軟件使用Windows SMB服務漏洞的先前公開的RTF漏洞攻擊方法來修改系統MBR引導扇區(qū)。重新啟動計算機后，病毒代碼將在Windows操作系統會屏蔽計算機的惡意操作會主動阻止，例如加密。每臺計算機和服務器都是必需的，希望用戶注意它。

免疫工具介紹圖一

Petya免疫工具是Internet上出現的Windows是一款免疫的修復工具。該勒索軟件利用了先前披露的Windows SMB服務漏洞（Microsoft http://stock.finance.sina.com.cn/usstock/quotes/MSFT.html漏洞通報：MS17-010）和（CVE-2017-0199）針對RTF漏洞的攻擊方法，修改系統MBR引導扇區(qū)。計算機重新啟動時，病毒代碼會執(zhí)行惡意操作，在Windows操作系統接管計算機之前，例如加密。

免疫工具介紹圖二

特性一：

疫苗免疫：

根據捕獲的病毒文件，分析病毒感染的原理。為了了解該病毒，將首先確定計算機是否已被感染，如果已經被感染，則隨后的過程將不會發(fā)生。因此，增加對已感染疫苗的治療，并增強系統對已知病毒的免疫力。

特性二：操作系統關鍵補丁包檢測

深入檢查Windows SMB服務漏洞的關鍵補丁（Microsoft漏洞公告：MS17-010）

特性三：（僅針對個人PC）一鍵暫停微軟網絡共享服務

添加系統防火墻規(guī)則

關閉TCP/UDP端口135、139、445（與SMB服務相關的端口）

特性三可能帶來影響說明！

1.關閉的PC防火墻會自動啟用，并且默認情況下會生成應用程序拒絕策略，這可能會使可用的個人PC應用程序不可用。

2.同時，上述端口操作會自動關閉，這將導致某些系統服務停止，同時避免了打印機，共享文件夾和其他應用程序等隱患。

免疫工具介紹圖三

經過Sangfor Clairvoyance安全研究小組的研究，Petya勒索軟件是一種新型病毒，主要通過網絡釣魚和電子郵件蠕蟲的組合進行傳播。 Windows中的兩個主要漏洞主要涉及傳播過程。

漏洞1: (CVE-2017-0199)環(huán)球金融電信協會漏洞

簡而言之，攻擊者可以在Word等Office文檔中嵌入惡意代碼，并可以通過打開Word文檔自動執(zhí)行任意代碼，無需用戶干預。在正常攻擊情況下，用戶會收到包含惡意代碼的Office文件(不僅是RTF格式的Word文件，還有其他Office文檔，如PPT)。通過點擊嘗試打開文件，一個特定的HTA程序將從惡意網站的執(zhí)行中下載，讓攻擊者控制。

漏洞2: MS17-010(永恒藍色)中小企業(yè)漏洞

SMB MS17-010(永恒藍)的漏洞是今年4月配方奶粉泄露的重要漏洞之一。

使用Windows SMB遠程權限提升漏洞攻擊已打開端口445并更新到特權系統的Windows系統。

TCP端口445在Windows Server系統的局域網上提供文件或打印機共享服務。攻擊者可以通過端口445建立請求的連接，并在指定的局域網上獲取各種共享信息。

打開文件夾，雙擊免疫tool.exe..等待自動檢測。

測試可以在一分鐘左右完成。