Con el avance de las investigaciones se han descubierto detalles adicionales sobre del ransomware Petya, especialmente en cuanto a la propagación del mismo. Al infectar las máquinas, no sólo explotan vulnerabilidades conocidas de SMB, sino que también utiliza técnicas de robo de contraseña y/o reutilización de sesiones activas, junto con herramientas de administración como PsExec y WMIC para propagarse a otras máquinas de la red, aun aquellas que se encuentran actualizadas.
Además, se ha ampliado la información sobre proceso de cifrado, durante el cual se observa una pantalla específica con un mensaje falso. Esto permite contar con un mecanismo de mitigación: si el usuario interrumpe el proceso en esta fase, puede recuperar luego los archivos.
El CERT-PY ha ampliado el boletín con esta nueva información, así como detalles adicionales en el siguiente enlace Boletin_20170627_Ransomware_Petya.pdf