De Master File Table bevat verwijzingen naar de bestanden in een NTFS-volume en door deze hoofdtabel te versleutelen, kunnen ze niet meer worden aangesproken. Petya nestelt zich in de Master Boot Record (MBR) en herstart het systeem, waarna er niet meer naar het OS gestart kan worden en de pc blijft hangen op een losgeldeis.

De malware is volgens BleepingComputer, die vorige week al melding maakte van de ransomware, aangetroffen in een gerichte e-mailcampagne bij een Duits bedrijf. Na activatie wordt de MBR voorzien van een malafide loader en de computer opnieuw opgestart. Daarna lijkt het alsof de schijf wordt gecontroleerd met een nep-CHKDSK-sherm. Op de achtergrond wordt dan in werkelijkheid de MBR versleuteld.

'Versleuteling' voorkomen

Goed nieuws komt van Heise: Als je de ransomware opmerkt voordat de nep-CHKDSK begint te lopen, kun je de bestanden sowieso back-uppen als je vanaf een andere schijf boot. Mocht je UEFI in plaats van BIOS gebruiken nog beter nieuws: onder UEFI krijgt de ransomware het systeem niet opnieuw opgestart en begint daarom de versleutelingsprocedure niet te lopen.

Zelfs als je BIOS hanteert en de ransomware pas bemerkt als het al te laat is, zijn bestanden hoogstwaarschijnlijk terug te halen, meldt Heise, omdat de harde schijf niet daadwerkelijk wordt versleuteld. Met een hex-editor konden de beveiligingsonderzoekers bestanden nog lokaliseren, dus het lijkt een kwestie van tijd voordat er een Petya-recoverytool gemaakt kan worden.