27 июня исследователь Амит Серпер (Amit Serper) опубликовал твит, утверждающий, что найден «стопроцентный» способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. Компания «Доктор Веб» выступает с опровержением этой информации.
В опубликованных статьях говорится, что существует способ предотвратить срабатывание на компьютере троянца Trojan.Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например: https://download.bleepingcomputer.com/bats/nopetyavac.bat.
Подобные инструкции размещены в том числе по адресам:
- http://www.telegraph.co.uk/technology/2017/06/28/security…
- https://www.bleepingcomputer.com/news/security/vaccine…
- http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
- http://www.zdnet.com/article/create-a-single…
- http://mashable.com/2017/06/28/ransomware-notpetya…
- https://www.scmagazineuk.com/notpetya-researchers…
- https://xakep.ru/2017/06/28/petya-vaccine
- http://www.securitylab.ru/news/486967.php
Компания «Доктор Веб» утверждает, что этот способ борьбы с троянцем Trojan.Encoder.12544, также известным под именами Petya, Petya. A, ExPetya и WannaCry-2, неэффективен по следующим причинам:
- Файл, с помощью которого Trojan.Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла троянца. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.
- Троянец осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.