Amit Serper, un chercheur israélien de la société américaine de sécurité informatique Cybereason, a raconté au média Haaretz que pour bloquer l'activation du ransomware Petya il fallait lui faire croire qu'il avait déjà infecté l'ordinateur.
«Quand un logiciel malveillant commence son travail, il vérifie essentiellement s'il a déjà crypté les fichiers, pour ne pas les crypter une nouvelle fois. Il cherche dans l'archive de Windows le ficher qui le démarre », a expliqué Amit Serper.
Selon lui, si le virus-extorqueur trouve ce fichier (C:/Windows/perfc), il comprend que l'ordinateur est déjà infecté et annule l'attaque.
Amit Serper signale que sa méthode rappelle plutôt un « vaccin » et possède peu de choses en commun avec la méthode de protection contre le ransomware WannaCry.
La cyberattaque utilisant le virus WannaCry est considérée comme le plus grand piratage à rançon de l'histoire. L'attaque a fait, selon Europol, 300.000 victimes dans au moins 150 pays depuis le 12 mai. Les pirates ont utilisé une faille de sécurité dans le système d'exploitation Windows utilisée par la NSA, « EternalBlue », dont l'existence a été révélée mi-avril 2017 par les groupes de hackers appelés The Shadow Brokers et Equation Group.
L l'éditeur d'antivirus russe Docteur Web a cependant annoncé que la manière dont se propageait le virus informatique qui avait paralysé mardi des entreprises russes et ukrainiennes se distinguait de la propagation du virus-extorqueur Petya.
«Selon les informations dont disposent nos spécialistes, le cheval de Troie se propage indépendamment, comme le tristement célèbre WannaCry. Pour le moment nous ne pouvons pas confirmer que le mécanisme de diffusion est le même. Actuellement, les analystes examinent le nouveau virus, les détails seront communiqués ultérieurement», annonce l'entreprise dans un communiqué.