A számítógépekhez kevésbé értő felhasználók nem igazán tudják kezelni a zsarolóprogrammal való megfertőződést, megérteni, hogy mit jelent a nyilvános kulcsú titkosítás, továbbá gondjaik támadhatnak a Tor anonim hálózathoz való csatlakozással, valamint a váltságdíj bitcoinban való kifizetésével. A Petya névre hallgató új zsarolóprogram még tovább nehezíti a felhasználók életét, mivel teljesen kizárja áldozatait a számítógépükről. Felülírja a megfertőzött PC mester boot rekordját (MBR-jét), elindíthatatlan állapotba hozva ezzel az operációs rendszert, állapították meg a Trend Micro kutatói.
Az MBR információkat tartalmaz a lemezpartíciókról, és elindítja az operációs rendszer bootolóját. Megfelelő MBR nélkül a számítógép nem tudja, hogy milyen partíciókkal rendelkezik az operációs rendszer, és hogyan indítsa el azt. A Trend Micro szerint a Petyát álláspályázatként álcázva spam üzenetekkel terjesztik, és az e-maileket a vállalatok HR-osztályainak küldik meg. A levelekben található hivatkozás egy megosztott Dropbox mappára mutat, amely látszólag egy, az állásra jelentkező önéletrajzát és fényképét tartalmazó önkicsomagoló tömörített fájlnak ad otthont. Ha a tömörített fájlt letöltik és végrehajtják, ezzel telepítik a zsarolóprogramot.
A rosszindulatú alkalmazás felülírja a számítógép MBR-ét, és kivált egy, a számítógépet újraindító kritikus hibát. Az újraindítást követően az átírt MBR megjelenít egy hamis windowsos lemezellenőrző műveletet, amely normál esetben is le szokott futni merevlemez hiba esetén, állapították meg BleepingComputer.com támogatási fórum szakértői. E művelet során a zsarolóprogram valójában titkosítja a mester fájl táblát (MFT-t). Ez az NTFS partíciók speciális állománya, amely minden egyes fájl adatait - nevét, méretét, a merevlemez szektoraiban való elhelyezkedését - tartalmazza.
Vagyis a Petya nem a fájlokat titkosítja (ami sokkal hosszabb időt vesz igénybe), hanem az MFT-t, így az operációs rendszer nem fogja tudni, hogy a fájlok hol helyezkednek el a lemezen. Bár az adatok speciális programokkal olvashatók maradnak, visszaállításuk rengeteg időbe telne. Az MFT titkosítása után a rosszindulatú MBR kód megjeleníti a váltságdíjat kérő üzenetet a képünkön látható halálfejes ábrával. Az üzenet leírja, hogy miként érhető el a számítógépes bűnözők dekódoló weboldala a Tor hálózaton keresztül, és megadja a zárolt számítógéphez tartozó egyedi azonosító kódot. A MFT helyreállításához szükséges titkosító kulcs ára 0,99 bitcoin, körülbelül 430 dollár.
