A Petya készítőinek célkeresztjében a cégek állnak. Az e-mailben érkező kártevőt jellemzően a személyzeti osztályoknak küldik, „Jelentkezés állásra” tárggyal. A levél törzse egy Dropbox-linket tartalmaz, ahonnan a vállalat alkalmazottja letöltheti a munkakereső „jelentkezését”.
A linkre kattintva letöltődik egy végrehajtható „.exe” fájl, melynek neve (lefordítva körülbelül) „jelentkezés_portfólió-becsomagolt.exe”. A fájl futtatásakor azonban a pc kékhalált hal, azaz összeomlik, majd újraindul. Az újraindulás előtt a Petya manipulálja a merevlemez első szektorát, a Master Boot Recordot (MBR), így a zsarolóprogram átveszi az irányítást a gép felett.
A kártevő ilyenkor egy fekete képernyőt jelenít meg, amely megtévesztő módon azt mutatja, mintha a számítógépen ellenőrzés, javítás futna. Valójában ez az a pillanat, amikor a Petya zárolja a merevlemezt. Jelenleg a G Data szakértői azt feltételezik, hogy a zsarolóprogram a fájlokat nem titkosítja, „csak” az elérésüket akadályozza meg.
A következő – piros halálfejet mutató – képernyő már világosan jelzi a problémát. Egy billentyű lenyomására pedig megjelenik a TOR böngésző mögött megbúvó bűnözők instrukciója is a károsultnak: keressen föl egy adott weboldalt, adja meg a személyes titkosító kulcsát. Az oldalon tájékoztatják arról, hogy a merevlemezt „katonai szintű titkosítással” zárolták a bűnözők, egyben megtudhatja, miként fizethet azért, hogy visszakapja az adatait. Az ár hetente megduplázódik.
A Petya zsarolóprogramot a G Data „Win32.Trojan-Ransom.Petya.A” néven azonosítja, a vírusvédelmi cég már elkészítette a kártevő ellenszerét, és blokkolta a letöltési linkeket.
Mivel azonban megjelenhetnek új, jelenleg még ismeretlen változatok is, a G Data arra figyelmeztet, hogy néhány egyszerű szabályt mindig meg kell tartani. Az első: folyamatosan gondoskodjunk az adatok mentéséről. Fontos emellett, hogy a megcélzott személyzeti osztály munkatársai ne töltsenek le, ne indítsanak el végrehajtható fájlokat. A hamis életrajz megnyitásakor a fertőzés már nem akadályozható meg.
A rendszergazdák számára hasznos információ, hogy ha mégis bekövetkezik a fertőzés, az érintett számítógépeket azonnal kapcsolják le a hálózatról, meggátolandó a kártevő terjedését. Jelenleg még nem világos, hogy az adatok visszanyerhetőek-e, a váltságdíj kifizetését azonban a szakértők nem javasolják.
