No detiene la infección como tal, lo que parece hacer si Petya detecta (como parece que la busca) perfc.dat es evitar que ejecute la parte de codificación del archivo del código en su máquina. Por lo tanto, si bien todavía tiene acceso a su máquina y a todos sus datos , todavía está infectado .
Entonces, ¿qué hace Petya si se detecta perf.dat, si no es el archivo codificado? Lo que hace es usar su computadora como punto de apoyo en una red para continuar propagándose internamente (no externamente, a diferencia de WannaCry).
Por lo que encontré al investigar esta respuesta, lo único que detiene la 'vacuna' de perfc.dat es el cifrado de archivos, creo (en eso no pude encontrar ninguna fuente que dijera lo contrario) que aún intenta eliminar credenciales de RAM para permitirle obtener acceso de administrador y viajar más lejos a través de una red.
En cuanto a si es un error o una característica, el enlace f-secure que he publicado en la parte inferior tiene un buen análisis que sugiere que el malware, que tiene un componente de propagación de red muy sofisticado y un modo de usuario y MBR menos sofisticado El componente (esto hace el cifrado / descifrado de archivos, y aparentemente funciona correctamente), sufrió un plazo reducido repentinamente después de que WannaCry arrojara EternalBlue a las noticias principales, reduciendo las posibles opciones de los atacantes para propagarse en una red.
No estoy seguro de si podemos estar seguros, pero lo atribuí a que la "vacuna" es un error, en lugar de una característica prevista. F-secure hizo algunos comentarios muy buenos sobre Petya en su blog 'From the Labs', la mayoría de los cuales se pueden encontrar en el que he enlazado a continuación, enlazaría algunos más pero no tengo la reputación.
Fuentes:
enlace
enlace