Использование файла perfc неэффективно для защиты от Trojan. Encoder.12544


Hit Web27 июня нынешнего года, исследователем Амитом Серпером (Amit Serper) был опубликован твит, в котором он утверждал, что якобы найден "стопроцентный" способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. Компания Доктор Веб опровергает эту информацию.

Как говорится в опубликованных статьях, существует способ предотвратить срабатывание на компьютере трояна Trojan.Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например:

  •  https://download.bleepingcomputer.com/bats/nopetyavac.bat.


Подобные инструкции размещены, в том числе по адресам:

  • http://www.telegraph.co.uk/technology/2017/06/28/security-researcher-creates-vaccine-against-ransomware-attack/
  • https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
  • http://www.foxnews.com/tech/2017/06/28/petya-ransomware-experts-tout-vaccine-to-protect-computers-from-crippling-cyber-attack.html
  • http://www.zdnet.com/article/create-a-single-file-to-protect-yourself-from-latest-ransomware-attack/
  • http://mashable.com/2017/06/28/ransomware-notpetya-cyber-attack-protection/#kYZ.QM.R_mqh
  • https://www.scmagazineuk.com/notpetya-researchers-find-kill-switch-then-clash-over-naming/article/671714/
  • https://xakep.ru/2017/06/28/petya-vaccine
  • http://www.securitylab.ru/news/486967.php


Согласно утверждению представителей компании Доктор Веб, данный способ борьбы с трояном Trojan.Encoder.12544, также известным под именами:

  • Petya;
  • Petya. A;
  • ExPetya;
  • WannaCry-2,

неэффективен по следующим причинам:

  • Файл, с помощью которого Trojan.Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла трояна. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.
  • Троян осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.

Предварительное исследование шифровальщика Trojan.Encoder.12544.


Обновлено (30.06.2017 23:20)