นักวิจัยด้านความปลอดภัยจาก Cybereason ชื่อ Amit Serper ค้นพบวิธีในการป้องกันแรนซั่มแวร์ Petya (ซึ่งตอนนี้มีชื่อใหม่เต็มไปหมดไม่ว่าจะเป็น NotPetya/SortaPetya/Petna) ไม่ให้เข้ามาทำร้ายคอมพิวเตอร์
แรนซั่มแวร์กลุ่มนี้ได้ระบาดหนัก สร้างความเสียหายเป็นวงกว้างทั่วโลกในช่วงไม่กี่วันที่ผ่านมา ด้วยการล็อกข้อมูลส่วน MFT และ MBR ของฮาร์ดดิสก์ ทำให้ไม่สามารถบูทคอมพิวเตอร์ขึ้นมาใหม่ได้ นอกจากเหยื่อจะเลือกจ่ายค่าไถ่ (ซึ่งมีการพิสูจน์แล้วว่าขณะนี้การยอมจ่ายเงินก็ไม่ได้รับประกันว่าจะกู้เครื่องมาใหม่ได้แต่อย่างใด) เรียกได้ว่าโดนเล่นงานแล้วแทบหมดหวังเลยทีเดียว
ในช่วงแรกที่พบการโจมตีนั้น เหล่านักวิจัยต่างเชื่อว่าแรนซั่มแวร์ตัวนี้เป็นแค่รุ่นที่ถูกพัฒนาขึ้นมาจากแรนซั่มแวร์ Petya ตัวเดิม แต่ภายหลังก็ค้นพบว่าเป็นสายพันธุ์ใหม่ที่มีการผสมขึ้นมาเป็นเอกลักษณ์เฉพาะ ที่มีการลอกโค้ดบางส่วนมาจาก Petya ตัวเดิมเท่านั้น จึงเป็นเหตุผลที่ช่วงหลังจึงเรียกมัลแวร์กลุ่มนี้เป็นชื่ออื่นอย่าง NotPetya, Petna, หรือ SortaPetya แทน
ด้วยความเสียหายที่เกิดขึ้นอย่างกว้างขวาง ทำให้นักวิจัยมากมายต่างทุ่มสุดกำลังในการวิเคราะห์เพื่อหาจุดอ่อนทั้งในด้านการหยุดการเข้ารหัสไฟล์ หรือการค้นหาโดเมนที่จะเป็นสวิตช์สั่งหยุดการโจมตีได้อย่างที่พบในกรณีของ WannaCry
แต่ระหว่างการตรวจสอบกลไกภายในแรนซั่มแวร์ตัวใหม่นี้เอง ที่ Serper เป็นคนแรกที่ค้นพบว่า NotPetya จะคอยค้นหาไฟล์บางอย่างบนดิสก์ ซึ่งจะหยุดการเข้ารหัสทันทีที่พบไฟล์ดังกล่าว ซึ่งต่อมาก็มีนักวิจัยอื่นมากมายที่ออกมายืนยันผลการค้นพบนี้ ไม่ว่าจะเป็นจาก PT Security, TrustSec, หรือ Emisoft
นั่นหมายความว่า เครื่องที่ตกเป็นเหยื่อสามารถสร้างไฟล์ดังกล่าวบนพีซีของตนเอง ตั้งค่าเป็น Read-only เพื่อปิดกั้นแรนซั่มแวร์ Petya ไม่ให้รันการทำงานต่อได้ แต่ด้วยกลไกลักษณะนี้ทำให้ดูเป็นการป้องกันมากกว่าการแก้ไข เมื่อเทียบกับกลไกการสั่งหยุดการทำงานทั่วโลกพร้อมกันด้วย Killswitch อย่างกรณี WannaCry
สำหรับการสร้างไฟล์วัคซีนดังกล่าวนั้นง่ายมาก แค่สร้างไฟล์ชื่อ perfc บนโฟลเดอร์ C:\Windows แล้วตั้งค่าเป็น Read-only สำหรับผู้ที่ต้องการทางลัดในการสร้างไฟล์นี้ ทางนักวิจัยชื่อ Lawrence Abrams ก็ได้สร้างแบชไฟล์สำหรับทำงานเหล่านี้โดยอัตโนมัติ ซึ่งโหลดได้จาก https://download.bleepingcomputer.com/bats/nopetyavac.bat
ซึ่งแบชไฟล์ดังกล่าวจะสร้างไฟล์วัคซีนขึ้นมาสองไฟล์ได้แก่ perfc.dat และ perfc.dll โดยพบว่าแค่สองไฟล์นี้ก็เพียงพอที่จะทำให้ NotPetya หยุดทำงานเมื่อตรวจพบไฟล์เหล่านี้แล้ว แต่สำหรับผู้ที่กลัวไม่อยากรันแบชไฟล์จากข้างนอกบนเครื่องตัวเอง ก็สามารถทำเองได้ง่ายๆ ด้วยขั้นตอนต่อไปนี้:
• ตั้งค่าบน Folder Option ให้แน่ในว่าออพชั่น Hide extension for known file types ไม่ได้ถูกทำเครื่องหมายไว้ เพื่อบังคับให้แสดงสกุลไฟล์
• จากนั้นเปิดโฟลเดอร์ C:\Windows แล้วเลื่อนลงมาจนเจอไฟล์โปรแกรม notepad.exe จากนั้นคัดลอกและทำสำเนาไฟล์ดังกล่าว (จะคลิกขวา หรือใช้ชอร์ทคัท Ctrl+X >> Ctrl+V ก็ได้) วินโดวส์อาจแสดงหน้าต่างให้อนุญาตการก๊อปไฟลในโฟลเดอร์ ก็ให้กด Continue จนสามารถสร้างไฟล์ notepad – Copy.exe ได้
• จากนั้นเปลี่ยนชื่อไฟล์ที่ทำสำเนาใหม่มาเป็น perfc แบบไม่ต้องมีสกุลไฟล์ (อาจจะคลิกหนึ่งครั้ง แล้วกด F2 เพื่อลบชื่อไฟล์เดิม แล้วพิมพ์คำว่า perfc แทน เสร็จแล้วกด Enter) ถ้ามีหน้าต่างให้ยืนยันการเปลี่ยนชื่อไฟล์ ก็ให้กด Yes หรือ Continue
• จากนั้นคลิกขวาที่ไฟล์ ไปที่ Properties แล้วติ๊กเลือก Read-only ที่ส่วนของ Attributes ด้านล่างสุด จากนั้นจึงกด Apply และ OK ตามลำดับ เป็นอันเสร็จเรียบร้อย
จากการทดสอบล่าสุดของ BleepingComputer.com นั้น พบว่าแค่ไฟล์ perfc แบบไม่มีสกุลไฟล์บนโฟลเดอร์วินโดวส์นี้ ก็สามารถเป็นวัคซีนป้องกันการโจมตีของ NotPetya
