El experto en malware británico Marcus Hutchins, reclamó: Intellect Services afirmó no haber tenido involucración alguna en el ataque del ransomware, puesto que sus oficinas fueron también afectadas, y estaban cooperando con el gobierno para rastrear el origen del ataque.
El malware utiliza el exploit EternalBlue creado por la NSA, que había sido anteriormente descubierto en versiones más viejas del sistema operativo Windows.
Cuando Petya es ejecutado, fuerza al ordenador a reiniciarse con una pantalla BSoD y minutos más tarde, muestra un falso CHKDSK (Mientras el falso proceso esta en funcionamiento, el virus cifra la Tabla Maestra de Archivos del disco duro y el MBR).
Luego de ese falso CHKDSK, se desplegará una pantalla parpadeante con una calavera con el texto “PRESS ANY KEY!” y, finalmente mostrando el mensaje de rescate (En el cual se dice que sus archivos están ahora cifrados y debe transferir 300 dólares estadounidenses en bitcoin a una de sus tres carteras y así recibir instrucciones para poder descifrar los archivos.)
[16] Expertos de seguridad habían descubierto que la versión de Petya utilizado en los ciberataques en Ucrania había sido modificado, por lo que fue denominado NotPetya o Nyetna para distinguirlo del malware original.
[17][18] Algunos expertos de seguridad observaron que el software podía interceptar contraseñas y realizar acciones sin necesidad de permisos del administrador que podrían dañar completamente los archivos del ordenador.