Habituellement, les ransomwares ne cryptent qu’une partie des données des victimes, souvent les fichiers personnels, ce qui laisse l’ordinateur utilisable dans le but de faciliter le paiement de la rançon. Ce n’est pas l’approche que possède Petya. Ce ransomware est pire que les autres en cryptant tout le disque dur.
Plus concrètement, lorsqu’il s’installe, Petya fait croire qu’il procède à un contrôle du disque dur au travers d’une commande CHKDSK. Ce n’est en fait pas une véritable commande CHKDSK qui est lancée, mais le cryptage du master boot record (MBR), la table des fichiers maîtres.
Comme l’a documenté Lawrence Abrams, Petya cible pour le moment des entreprises possédant un département des ressources humaines. Il arrive dans un mail, en tant que lien vers un fichier stocké sur Dropbox pour accéder à une application pour le recrutement. En fait, cliquer sur ce lien lance l’installation du malware. A priori, il est pour le moment signalé essentiellement en Allemagne, et pas pour le grand public.
En cliquant sur le lien, une alerte Windows apparait. Si l’utilisateur décide de passer outre, Petya s’installe dans le master boot record (MBR) de la victime. Le message « Un de vos disques contienne des erreurs et doit être réparé » s’affiche alors avant que l’ordinateur reboot automatiquement et lance une fausse commande CHKDSK qui crypte le disque dur. C’est alors qu’un message de tête de mort s’affiche pour annoncer que « Vous êtes devenu victime de la PETYA RANSOMWARE! ». Des instructions sont alors affichées pour expliquer comment payer la rançon (0,9 Bitcoins) par l’intermédiaire d’un service caché de Tor pour obtenir une clé de restauration pour récupérer le disque dur.
Alors que certains sites prétendent que lancer une réparation du MBR permet d’éliminer Petya, Lawrence Abrams prévient que cela va seulement supprimer l’écran montrant la serrure. « Cela ne déchiffrera pas votre MFT et vos données seront toujours inaccessibles », explique-t-il. « Il faut réparer le MBR seulement si vous ne vous soucier pas de perte toutes vos données et souhaitez réinstaller Windows ».
Fabian Scherschel, de Heise Security, écrit de son côté que Petya ne procède qu’à un simple cryptage XOR dans un premier temps. À ce stade, les données peuvent être facilement récupérées par démarrage sur un autre disque. Sur les systèmes UEFI infectés par Petya, le malware n’endommage pas les données, seulement les informations de démarrage précise-t-il encore.