Esiteks paistab enamik eksperte nõustuvat, et lunavara kasutab oma töös USA riikliku julgeolekuagentuuri NSA välja arendatud küberrelva EternalBlue, mille varastas nende käest häkkerite grupp Shadow Brokers ja mida kasutas ka WannaCry. Küll aga ei ole EternalBlue uue viiruse arsenalis ainus relv, sest pärast WannaCry rünnakut on paljud süsteemid selle eest kaitstud.

Kui WannaCry ründas uuendamata ja vähe turvatud süsteeme, siis uus viirus paistab eriliste probleemideta laastavat ka hästi turvatud suurkorporatsioonide võrke. Väljaande The Verge andmetel kasutab lunavara võrgu sees levimiseks Windowsi võrgutööriistu Windows Management Instrumentation (WMI) ja PsExec. Mõlemad funktsioonid tegelevad kaugpääsu haldamisega.

Teiseks on paljud küberturbega tegelevad ettevõtted oletanud, et tegu võib olla lunavara Petya ühe versiooniga. Küll aga ütles Karspersky Labi uurija Costin Raiu väljaandele Motherboard, et nende andmetel pole see siiski Petya, vaid hoopiski midagi uut. Seega on nad andnud viirusele hüüdnime NotPetya.

Talos Intelligence, kes andis viirusele nimeks Nyetya, kirjutas oma blogis, et viirus on mitme ründevektoriga (mainitud EternalBlue, WMI ja PsExec), kuid esimene vektor võis olla tarkvarauuendus Ukraina raamatupidamisprogrammile MeDoc ja hakkas sealt edasi levima.

Portaalis Securelist öeldakse, et viirus ootab pärast arvuti nakatamist umbes 10–60 minutit ja taaskäivitab siis arvuti. Taaskäivitamine ajastatakse, kasutades süsteemitööriistu, nagu «at», «schtasks» ja «shutdown.exe». Pärast taaskäivitamist alustab viirus NTFS-failihaldussüsteemi põhitabeli krüpteerimist.

F-Secureʼi tugikeskuse juhataja Raido Orumets rääkis, et praegune pahavaraepideemia on professionaalsemalt teostatud ning ettevõtetele ohtlikum võrreldes hiljutise WannaCry epideemiaga. Erinevalt WannaCryst ei krüpteerita Orumetsa sõnul mitte ainult failid, vaid suletakse ligipääs tervele kettale. Lunarahanõude suurus on 300 USA dollarit ning seni pole kinnitust, et pärast selle tasumist oleks andmetele ligipääs taastatud.

Samas tunnistas tugikeskuse juht, et info viiruse kohta on vastukäiv ja viiruste laborid üle maailma püüavad viiruses selgusele jõuda. F-Secure usub siiski, et tegu on Petya-tüüpi viirusega. Rait Piir, Taavi Teder