30 июня 2017 года

27 июня исследователь Амит Серпер (Amit Serper) опубликовал твит, утверждающий, что найден «стопроцентный» способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. Компания «Доктор Веб» выступает с опровержением этой информации.

В опубликованных статьях говорится, что существует способ предотвратить срабатывание на компьютере троянца Trojan.Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Подобные инструкции размещены в том числе по адресам:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Компания «Доктор Веб» утверждает, что этот способ борьбы с троянцем Trojan.Encoder.12544, также известным под именами Petya, Petya. A, ExPetya и WannaCry-2, неэффективен по следующим причинам:

1. Файл, с помощью которого Trojan.Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла троянца. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.
2. Троянец осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.

Компания «Доктор Веб» выпустила статью с предварительным исследованием шифровальщика Trojan.Encoder.12544, с которой можно ознакомиться на нашем сайте.