Frankfurt, 30. Juni 2017

Am 27. Juni twitterte Amit Serper, dass man eine Methode gefunden habe, die der Datenverschlüsselung durch den Encoder Petya zu 100% vorbeugen soll. Anleitungen wie man das macht, haben auch mehrere Medien veröffentlicht. Doctor Web dementiert, dass all diese Methoden effektiv sind.

In veröffentlichten Artikeln heißt es, dass es eine Methode gibt, mit der man die Aktivierung von Trojan.Encoder.12544 unterbinden kann, indem man im Verzeichnis C:\Windows eine perfc-Datei erstellt. Einige weisen auch auf Dateien hin, die es für den Benutzer machen können, z.B.: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Ähnliche Anleitungen sind unter folgenden Adressen zu finden:

• http://www.telegraph.co.uk/technology/2017/06/28/security…
• https://www.bleepingcomputer.com/news/security/vaccine…
• http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
• http://www.zdnet.com/article/create-a-single…
• http://mashable.com/2017/06/28/ransomware-notpetya…
• https://www.scmagazineuk.com/notpetya-researchers…
• https://xakep.ru/2017/06/28/petya-vaccine
• http://www.securitylab.ru/news/486967.php

Doctor Web erklärt, dass diese Methode gegen Trojan.Encoder.12544, der auch unter dem Namen Petya, Petya. A, ExPetya und WannaCry-2 bekannt ist, aus folgenden Gründen nicht effektiv ist:

1. Die Datei, mit der Trojan.Encoder.12544 die Kontrolle über den Neustart verfügt, hängt vom Dateinamen des Trojaners ab. Wenn Cyber-Kriminelle die böswillige Datei umbenennen, schützt eine perfc-Datei im C:\Windows файла nicht gegen die Infizierung.
2. Der Trojaner prüft, ob eine perfc-Datei vorhanden ist, nur dann, wenn er über ausreichende Privilegien im System verfügt.

Die Virenanalysten von Doctor Web haben eine vorläufige Analyse von Trojan.Encoder.12544 veröffentlicht, mit der Sie sich auf unserer Webseite bekannt machen können.