Potrivit mai multor experţi în securitate implicaţi în analizarea noului val de atacuri informatice care lovit numeroase organizaţii din Rusia, Ucraina, Polonia, Italia, Marea Britanie, Germania, Franţa, Statele Unite, România şi alte ţări, malware-ul propagat este un fals-ransomware care nu poate reda funcţionalitatea PC-urilor compromise, chiar dacă victimele plătesc taxa de răscumpărare solicitată.
Pornind pe urmele campaniei WannaCry de atacuri intens mediatizate, noul malware prezintă câteva asemănări cu Petya însă are o funcţionalitate complet diferită. La o analiză mai atentă, Kaspersky Lab şi experţi ai altor companii de securitate par să fi ajuns la o concluzie surprinzătoare, cum că malware-ul denumit ExPetr este de fapt un „wiper” care distruge prin suprascriere o porţiune esenţială pentru buna funcţionare a dispozitivelor de stocare, împiedicând astfel accesarea datelor.
Acţionând ca un ransomware deghizat, malware-ul solicită apoi plata unei taxe de răscumpărare, însă o face în cel mai dificil mod cu putinţă, forţând victimele să trimită un mesaj la o a dresă email şi să tasteze apoi manual un lung şir de caractere primit ca răspuns. Surpriza este că adresa email nici măcar nu funcţionează, obţinerea unei chei pentru decriptare prin plata taxei de răscumpărare solicitată în contul unei adrese Bitcoin fiind practic imposibilă. Astfel, este puţin probabil ca persoanele aflate în spatele acestui atac să obţină profit de pe urma unor plăţi reuşite.
Cât despre recuperarea datelor stocate pe HDD-urile compromise prin suprascrierea porţiunii numite MBR (Master Boot Record), operaţiunea ar putea să reuşească în proporţie de 100% atât timp cât restul datelor găzduite pe partiţii sunt intacte şi nu au fost alterate prin aplicarea unui algoritm de criptare, scopul real al atacului fiind perturbarea activităţii unui număr cât mai mare de organizaţii, fără intenţia de a face profit sau lăsa în urmă daune permanente.