Phòng nghiên cứu F-Secure Labs đã xác nhận rằng ransomware được sử dụng lần này thuộc dòng Pansa ransomware, và nó hoạt động giống như một con sâu mạng, lây lan qua cùng một lỗ hổng SMB (sử dụng khai thác EternalBlue do NSA phát triển) như WannaCry.

Ông Jarkko đại diện của F-Secure Labs đã mô tả Petya được biết đến như là một công cụ của ransomware trong một bài đăng blog mà ông viết vào năm 2016. Thay vì chỉ mã hóa các tệp tin, nó sẽ khóa toàn bộ đĩa, không thể sử dụng được cho đến khi virus này bị loại khỏi.

Bất kỳ nạn nhân nào của Petya có thể thấy như sau: Các vũ khí lây nhiễm cho chiến dịch này vẫn còn là ẩn số, nhưng kết quả cuối cùng về cơ bản là giống nhau. Hầu hết các loại virus crypto-ransomware nhắm mục tiêu và mã hóa các tập tin trên ổ cứng của nạn nhân. Điều này có nghĩa là nạn nhân không thể truy cập các tệp tin này nhưng vẫn có thể sử dụng hệ điều hành. Petya đưa nó đến cấp độ tiếp theo bằng cách tự nó mã hóa các phần của ổ cứng để bạn không thể truy cập bất cứ thứ gì trên ổ đĩa, bao gồm Windows.

F-Secure cho rằng, về phương diện kỹ thuật Ransomware “Petya” đã có một lịch trình được tạo để khởi động lại máy tính bị nhiễm sau 1 giờ (trông giống như hành động với người dùng). Trong khi chờ đợi khởi động lại, Petya sẽ tìm kiếm các máy trong mạng để lây lan đến. Sau khi thu thập địa chỉ IP để lây nhiễm, Petya khai thác lỗ hổng SMB và tự hủy bản sao của nó vào máy tính mục tiêu. Sau khi khởi động lại, quá trình mã hoá bắt đầu trong quá trình khởi động, sau đó hiển thị thông tin về tiền chuộc.

Ransomware “Petya” bùng phát trên toàn thế giới, bao gồm Pháp, Ấn Độ, Tây Ban Nha, Anh, Mỹ, Nga... Và giống như WannaCry, Petya nó hoàn toàn nắm bắt các hệ thống mà người ta tin tưởng, chẳng hạn như máy ATM ở Ukraine.

Tuy nhiên, các nhà nghiên cứu bảo mật khéo léo đã có thể tận dụng sai lầm bất cẩn của những kẻ tấn công đằng sau WannaCry, cố vấn an ninh F-Secure, ông Sean Sullivan lại không thấy điều đó xảy ra.

"Những kẻ tấn công của WannaCry đã thất bại vì họ không thể giải quyết số lượng nạn nhân mà họ tạo ra. Nhưng chiến dịch này của Petya, về cơ bản vẫn đang trong vòng đầu tiên của nó, được xem là chuyên nghiệp hơn và sẵn sàng để kiếm lời từ tiền chuộc ", Sean nói.”Số giờ làm việc chắc chắn sẽ nhiều lên khi bắt đầu các cuộc tấn công ransomware toàn cầu" ông Sean Sullivan nói.

Hiện gần 30 người đã trả tiền cho kẻ tấn công để lấy thiết bị của họ mở khóa. Rõ ràng các kẻ tấn công đã bị người cung cấp chặn địa chỉ email, nhưng Sean nói rằng việc này có thể không hoạt động, vì nó sẽ không ngăn chặn được phần mềm độc hại lây lan.

Vì vậy, các tổ chức cần phải cẩn thận trong những ngày tới để tránh nhiễm trùng Petya. Vì những điểm tương đồng với WannaCry, hầu hết các lời khuyên bảo mật tương tự được áp dụng: cập nhật Windows, cấu hình tường lửa của bạn để ngăn chặn lưu lượng truy cập đến qua cổng 445 nếu có thể, và sử dụng bảo vệ thiết bị đầu cuối. Các sản phẩm F-Secure có nhiều biện pháp bảo vệ được xây dựng để giúp bảo vệ khách hàng khỏi Petya và các loại chuộc giá khác.

Ngày 28/6/2017, F-Secure tuyên bố hợp tác với VNPT – VinaPhone và miễn phí 12 tháng cho các thuê bao Internet băng rộng mới của nhà mạng này trong 12 tháng. F-Secure cho rằng khi cài phần mềm bảo mật của hãng thì các nguy cơ đối với Petya đã bị loại bỏ.