Ransomware Petya sparaliżował pracę setek komputerów na Ukrainie i ekspansywnie rozprzestrzenia się do innych rejonów świata. Jednym z głównych punktów dystrybucji tego złośliwego oprogramowania był skompromitowany serwis z aktualizacjami do oprogramowania MeDoc.

Petya atakuje systemy Windows (w tym zaktualizowane, w szczególności podpięte do domeny). Po zainfekowaniu komputera próbuje infekować pozostałe komputery w sieci lokalnej wykorzystując do propagacji interfejs WMI i PsExec, po czy przystępuje do szyfrowania dysków.

W trakcie szyfrowania dysków wyświetla czarny ekran z komunikatem o rzekomej naprawie plików systemowych - por. zrzut ekranu tutaj: https://box.psnc.pl/f/d0c7df3efc/

Widząc taki ekran należy natychmiastowo wyłączyć komputer i nie uruchamiać go ponownie. Jeśli proces szyfrowania plików zostanie szybko przerwany, to pliki powinny być bezpieczne (można je będzie odzyskać, podłączając w odpowiednio bezpieczny sposób dysk do innego komputera).

Komputer można częściowo uchronić przed atakiem (jego wersją rozpowszechniającą się przez interfejs WMI), tworząc plik (może być pusty) C:\Windows\perfc w trybie tylko do odczytu.

Jednym z kanałów dystrybucji Petya są również e-maile z zainfekowanymi dokumentami MS Office. Zaleca się ostrożność i nie otwieranie załączników z nieznanych źródeł.

Zagrożenie powinno zostać dodatkowo zmniejszone dzięki blokadzie na firewallach adresów IP znanych jako biorące udział w atakach.