Sebaliknya, Petya reboot mengorbankan komputer dan mengenkripsi tabel master master hard drive (MFT) dan membuat master boot record (MBR) tidak dapat dioperasikan. membatasi akses ke sistem penuh dengan memanfaatkan informasi tentang nama file, ukuran, dan lokasi pada disk fisik.
Kemudian Petya ransomware mengambil salinan MBR yang dienkripsi dan menggantinya dengan kode berbahaya yang menampilkan catatan tebusan, sehingga komputer tidak dapat lagi melakukan booting.
Selain itu, setelah menginfeksi satu mesin, ransomware Petya memindai jaringan lokal dan dengan cepat menginfeksi semua mesin lain (bahkan sepenuhnya ditambal) pada jaringan yang sama, menggunakan alat pemurni EternalBlue SMB, WMIC dan PSEXEC.
Namun, varian baru Petya ini tidak menyimpan salinan MBR yang diganti, secara keliru atau sengaja, membiarkan komputer yang terinfeksi tidak bisa boot meski korban mendapatkan kunci dekripsi.
Jangan Bayar Ransom; Anda Tidak Akan Mendapatkan File Anda Kembali
Sejauh ini, hampir 45 korban telah membayar total $ 10,500 di Bitcoin dengan harapan bisa mendapatkan file terkunci mereka kembali, tapi sayangnya, mereka tidak mau.
Itu karena alamat email, yang sedang disiapkan oleh penyerang untuk berkomunikasi dengan korban dan mengirim kunci dekripsi, diskors oleh penyedia Jerman sesaat setelah wabah.
