360天擎petya勒索病毒修復工具是個專門用來查殺petya勒索病毒的軟件，功能性強，實時檢測，能夠很好的保護你的電腦不受病毒的侵害，并且還會自動幫你修復電腦中的問題！

Petya0627勒索病毒漏洞修復工具介紹

360企業安全天擎團隊提供的針對“Petya0627勒索病毒”所利用漏洞的修復工具。運行該工具后，會自動檢測系統是否存在相關漏洞，并提供修復方法。 由于該漏洞會使用“永恒之藍”漏洞進行傳播，修復工具集創建免疫文件、SMB服務關閉、admin$共享關閉和各系統下MS17-010漏洞檢測與修復于一體。可在離線網絡環境下一鍵式修復系統存在的MS17-010漏洞，根本解決Petya0627勒索病毒利用“永恒之藍”漏洞帶來的安全隱患。

對于目前不支持自動打補丁的操作系統，可以按照工具提示關閉風險服務（關閉445端口，禁用smb協議，關閉admin$會導致打印業務、文件共享業務受到影響）。等手動安裝完補丁后，通過服務恢復工具恢復被關閉的服務。

勒索病毒簡介

Petya和傳統的勒索軟件不同，不會對電腦中的每個文件都進行加密，而是通過加密硬盤驅動器主文件表(MFT)，使主引導記錄(MBR)不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限制對完整系統的訪問，從而讓電腦無法啟動。如果想要恢復，需要支付價值相當于300美元的比特幣。

特色

受“永恒之藍”漏洞影響的系統均在該漏洞威脅范圍之內。

該病毒會使用本機賬號和密碼登錄內網其他終端進行橫向傳播。

提供的針對“Petya0627勒索病毒”所利用漏洞的修復工具。

petya病毒及變種的工作原理

當我們的電腦被本病毒入侵以后，它會自動往硬盤寫入一些東西，閃過一行英文之后就立即重啟電腦了。（閃的速度太快了我沒看清楚是什么內容），這個時候重啟進PE，可以看到數據還在這里。但是如果通過外界的啟動菜單來從硬盤啟動，又可以正常啟動回Windows。從這些特性說明，Petya是典型的MBR引導區病毒，觸發的時候首先惡意寫入了MBR，但不破壞PBR。

因此：

只要你使用的是UEFI啟動方式且為GPT分區表，該病毒對你的電腦就徹底失去作用，不會有任何影響。

但如果你用的是Legacy啟動方式（也就是MBR），你可以使用任何可能的防護軟件抵御MBR寫入動作。

那么如果撤去外界啟動菜單直接從硬盤的MBR啟動會發生什么呢？

運行一個假的chkdsk程序，實際上這個操作是破壞扇區。不過，此操作并非全盤加密，因為全盤加密真正操作起來相當費時。如果你用過BitLocker全盤加密的話，應該知道加密/解密過程需要花多長時間。小編在之前事先測試了一次，并在真正開始破壞之前我復制了整個硬盤的前1000000個扇區的數據（大概490MB）用于對比。

這個過程跑完之后，就是閃瞎眼的骷髏標志……

按下任意鍵之后，就進入了勒索提示。我使用的這種Petya樣本是將信息填寫到這個onion網站上的，不過本質其實是一樣的。在這個時候，你進入PE訪問整個硬盤，你會發現磁盤全部變成RAW無法訪問。

這個時候將被破壞的硬盤的前1000000個扇區提取出來，和之前備份的進行對比。我們使用的是UltraCompare這個工具。我們這里可以看到，發生變化的主要是一直到0x00006350區段的所有內容，換算一下大概是28扇區，14KB的數據量。而上面顯示，發生變化的內容有10965266字節，也大概是10MB的數據量，實際上遠沒有這么多。

綜上所述Petya的特征得出以下結論：

1、它是一種MBR引導區病毒；

2、類似當年的CIH，為了加快破壞文件速度，它不使用全盤加密而是直接破壞的分區表；

3、但是，它破壞分區表并不是簡單地刪除分區表，而是破壞了每個分區的文件系統，導致系統無法再正確讀取這些磁盤的數據，因此也無法靠修復分區表來解決此問題。

因此，想救回這些文件，你可以使用任何主流的支持從RAW分區恢復數據的數據恢復軟件來很方便地救回這些數據，比如說易數科技的diskgenius、X-Ways的winhex。你可以選擇在PE下使用這類數據恢復軟件，也可以選擇將硬盤外接到別的電腦上來使用。

另外特別說明，這種情況出現之后，不要使用chkdsk磁盤掃描工具來修復磁盤，否則它會刪除這些你還可能救得回來的文件。