La protection contre le Trojan.Encoder.12544 à l'aide du fichier perfc n'est pas efficace, un "vaccin" n'est pas une panacée

Le 30 juin 2017

Le 27 juin, le chercheur Amit Serper a publié un tweet déclarant qu'un moyen permettant de prévenir le chiffrement des fichiers par le ransomware Petya avec une garantie à 100% avait été trouvé. De nombreuses ressources sur le Web ont publié des marches à suivre correspondantes. Doctor Web dément ces informations.

Dans les articles publiés, il s'agit d'un moyen permettant de prévenir la mise en marche du Trojan.Encoder.12544 sur l'ordinateur contaminé. Pour ce faire, il a été proposé de créer dans le dossier C: \Windows un fichier perfc. Certains proposent des fichiers batch, par exemple: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Cette solution a été publiée sur les sites web suivants:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Dr.Web affirme que cette méthode de protection contre le Trojan.Encoder.12544 également connu sous les noms de Petya, PetyaA, ExPetya et WannaCry-2 est inefficace pour les raisons suivantes:

1. Le fichier utilisé par le Trojan.Encoder.12544 pour contrôler son redémarrage dépend du nom du fichier du Trojan. Il suffit aux attaquants de renommer le fichier malveillant, et la présence du fichier perfc dans le dossier C:\ Windows ne sauvera pas votre ordinateur d'être infecté.
2. Le Trojan vérifie la présence du fichier uniquement s'il possède suffisamment de privilèges pour cela dans l'OS.

Doctor Web a publié un article avec une analyse préliminaire du ransomware que vous pouvez consultez sur notre site.