Спецове по сигурността съобщиха за първия вирус изнудвач, който криптира съдържанието на целия твърд диск, а не само на отделни файлове.

Новият опасен софтуер, открит от компанията G Data, се нарича Петя (Pеtya) и в червеното му лого има сърп и чук. Чрез него киберпрестъпниците атакуват търговски организации основно в немскоговорящите страни.

Вирусът прониква в компютъра чрез линк в електронната поща, който води към EXE файл в облака Dropbox (application_portfolio-packed.exe), маскиран като информация за работа и насочен към отделите по човешки ресурси. Когато потребителят стартира този файл, компютърът влиза в „синия екран на смъртта”, след което се рестартира.

При зареждането се създава впечатление, че компютърът изпълнява помощната програма CHKDSK, която проверява за грешки по диска. Потребителят вижда предупреждение, че процесът на проверка може да отнеме няколко часа, като през това време не бива да изключва компютъра, за да не бъдат унищожени данните.

В действителност обаче Петя модифицира зареждащия сектор на диска – Master Boot Record (MBR), за да може впоследствие да управлява процеса на зареждане. След това РС-то наистина се презарежда, но вместо CHKDSK вирусът изпълнява своята злокобна мисия – за няколко часа криптира всички данни на диска.

След завършване на процеса, екранният фон се оцветява в червено, появява се изображение на череп и потребителят разбира, че е станал жертва на вируса Петя.

Всички данни на диска са криптирани по военен алгоритъм и за да получи достъп до тях, потребителят трябва да изпълни три прости стъпки: да свали браузъра Tor, да последва посочения линк и да плати за декодиращия ключ. Вирусът дава срок от седем дни за изпълнение на стъпките, след което обещава да удвои сумата за откуп.