Perché un file perfc cura / uccide Petya ransomware (è un bug o una decisione deliberata dei creatori)?

0

Perché un file perfc nella directory di Windows impedisce il recente ransomware Petya? È un bug nel ransomware che lo ferma dall'esecuzione? O è un tentativo deliberato dei creatori di consentire alle persone di trovare una cura per prevenirlo? O come il supporto ha dichiarato "per utilizzare l'interruttore Kills".

Nel caso di una cura, se il ransomware è stato creato per fare il maggior danno possibile. Quindi, perché dovrebbero prendere una tale decisione / errore?

Inoltre, considera la creazione di un file "perfc" senza estensione di file o un file "perfc.dll"?

    
posta Bob Ortiz 07.07.2017 - 01:52
fonte

1 risposta

2

Non si ferma l'infezione in quanto tale, come sembra che Petya rilevi (come sembra che lo stia cercando) perfc.dat lo interrompe dall'eseguire la parte di scrambling dei file sul tuo computer. Pertanto, mentre hai ancora accesso al tuo computer e tutti i tuoi dati sei ancora infetto .

Quindi cosa fa Petya se viene rilevato perf.dat, se non il file che si agita? Quello che fa è usare il computer come punto d'appoggio in una rete per continuare a diffondersi internamente (non esternamente, a differenza di WannaCry).

Da quello che ho trovato durante la ricerca di questa risposta, l'unica cosa che il "vaccino" perfc.dat si ferma è il file che si agita, credo (nel senso che non ho trovato nessuna fonte che dicesse diversamente) che tenta ancora di sollevare credenziali dalla RAM per consentirgli di accedere all'amministratore e viaggiare più lontano attraverso una rete.

Per quanto riguarda un bug o una funzionalità, il link f-secure che ho pubblicato in basso ha una buona analisi che suggerisce che il malware, che ha un componente di propagazione della rete molto sofisticato, e un MBR meno sofisticato e modalità utente componente (questo fa la crittografia / decifrazione dei file, e apparentemente funziona correttamente), ha subito una scadenza improvvisamente ridotta dopo che WannaCry ha lanciato EternalBlue come titolo di notizie, riducendo le potenziali opzioni degli aggressori per diffondersi in una rete.

Non sono sicuro che possiamo esserne certi, ma direi che il "vaccino" è un bug, piuttosto che una funzione prevista. F-secure ha fatto alcune belle annotazioni su Petya sul loro blog "From the Labs", la maggior parte delle quali può essere trovata da quello che ho linkato di seguito, collegherei qualche altro ma non ho la reputazione.

Fonti:

link

link

    
risposta data 11.07.2017 - 12:17
fonte

Leggi altre domande sui tag