Non si ferma l'infezione in quanto tale, come sembra che Petya rilevi (come sembra che lo stia cercando) perfc.dat lo interrompe dall'eseguire la parte di scrambling dei file sul tuo computer. Pertanto, mentre hai ancora accesso al tuo computer e tutti i tuoi dati sei ancora infetto .
Quindi cosa fa Petya se viene rilevato perf.dat, se non il file che si agita? Quello che fa è usare il computer come punto d'appoggio in una rete per continuare a diffondersi internamente (non esternamente, a differenza di WannaCry).
Da quello che ho trovato durante la ricerca di questa risposta, l'unica cosa che il "vaccino" perfc.dat si ferma è il file che si agita, credo (nel senso che non ho trovato nessuna fonte che dicesse diversamente) che tenta ancora di sollevare credenziali dalla RAM per consentirgli di accedere all'amministratore e viaggiare più lontano attraverso una rete.
Per quanto riguarda un bug o una funzionalità, il link f-secure che ho pubblicato in basso ha una buona analisi che suggerisce che il malware, che ha un componente di propagazione della rete molto sofisticato, e un MBR meno sofisticato e modalità utente componente (questo fa la crittografia / decifrazione dei file, e apparentemente funziona correttamente), ha subito una scadenza improvvisamente ridotta dopo che WannaCry ha lanciato EternalBlue come titolo di notizie, riducendo le potenziali opzioni degli aggressori per diffondersi in una rete.
Non sono sicuro che possiamo esserne certi, ma direi che il "vaccino" è un bug, piuttosto che una funzione prevista. F-secure ha fatto alcune belle annotazioni su Petya sul loro blog "From the Labs", la maggior parte delle quali può essere trovata da quello che ho linkato di seguito, collegherei qualche altro ma non ho la reputazione.
Fonti:
link
link