30 giugno 2017

Il 27 giugno il ricercatore Amit Serper ha pubblicato un tweet sostenendo che è stato trovato un metodo al cento per cento per prevenire la criptazione di file dal ransomware Petya. Le istruzioni su come farlo sono state riportate da un grande numero di risorse Internet. L'azienda Doctor Web smentisce queste informazioni.

Negli articoli pubblicati si dice che esiste un modo per prevenire l'attivazione sul computer del cryptolocker Trojan.Encoder.12544 creando nella cartella C:\Windows un file perfc. Alcuni offrono persino dei file batch che lo fanno per l'utente, per esempio: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Le istruzioni simili sono collocate su diversi indirizzi, tra cui:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

L'azienda Doctor Web afferma che questo metodo per combattere il malware Trojan.Encoder.12544, anche conosciuto con i nomi Petya, Petya. A, ExPetya e WannaCry-2, non è efficace per i seguenti motivi:

1. Il file tramite cui Trojan.Encoder.12544 esegue il controllo di un avvio ripetuto dipende dal nome del file del trojan. Basta che i malintenzionati rinominino il file malevolo, e la presenza del file perfc nella cartella C:\Windows già non salverà il computer dall'infezione.
2. Il trojan verifica la presenza del file perfc solo se per questo scopo ha privilegi sufficienti nel sistema operativo.

L'azienda Doctor Web ha pubblicato un articolo con un esame preliminare del cryptolocker Trojan.Encoder.12544, che si può leggere sul nostro sito.