Cả hai phiên bản của Petya đều sử dụng một payload lây nhiễm bản ghi khởi động chính (master boot record) của máy tính, ghi đè bộ nạp khởi động (bootloader) Windows, và sau đó kích hoạt khởi động lại. Trong lần khởi động tiếp theo, payload được thực hiện, nó mã hóa Master File Table của hệ thống tập tin NTFS, và sau đó hiển thị thông báo đòi tiền chuộc yêu cầu thanh toán bằng Bitcoin [1][10][11]. Trong quá trình này, một mô phỏng của trình chkdsk, máy quét hệ thống tập tin của Windows, được hiển thị trên màn hình, cho thấy rằng ổ cứng đang được sửa chữa.[2]

Tải trọng nguyên gốc đòi hỏi người dùng cấp đặc quyền quản trị; Một biến thể của Petya được kèm với một tải trọng khác gọi là Mischa, được sử dụng nếu Petya không cài đặt được. Mischa là một payload ransomware thông thường hơn, nó mã hóa các tài liệu người dùng, cũng như các tập tin thực thi, và không cần quyền quản trị để thực thi.[1] Các phiên bản trước đó của Petya cải trang tải trọng của nó như là một tập tin PDF, kèm theo trong một e-mail.[1] Phiên bản "NotPetya" được sử dụng trong cuộc tấn công năm 2017 sử dụng cùng một lỗ hổng EternalBlue mà WannaCry đã sử dụng.[11]

Nhà cung cấp dịch vụ E-mail Posteo của Đức trong cuộc tấn công Petya hiện thời đã khóa một địa chỉ E-mail được dùng để liên lạc với các kẻ tống tiền. Trên máy bị nhiễm, nạn nhân bị yêu cầu phải trả 300 dollars bitcoin, rồi liên lạc với địa chỉ trên để được chỉ dẫn cách cứu tập tin. Tới giờ đã có khoảng 3.600 Euro được trả vào tài khoản bitcoin đó.[12]

Các nhà nghiên cứu bảo mật của McAfee đã phân tích sự lây lan của các Trojan, mà hoạt động rất tinh vi. Khi lọt vào hệ thống máy của nạn nhân, phần mềm độc hại quét ngay lập tức mạng xung quanh máy chủ. Không giống như WannaCry nó hoạt động rất có phương pháp. Đầu tiên NotPetya, cố gắng tìm một máy chủ tên miền (Domain Server). Từ máy chủ đó các mã độc hại sau đó thu thập một danh sách các máy tính trên mạng để nhiễm vào. Điều này tạo ra lưu lượng giao thông ít hơn nhiều trên mạng so với lối phát các gói dữ liệu bừa bãi của WannaCry hoặc Conficker.

Trước hết như WannaCry nó thử qua lỗ hổng EternalBlue. Microsoft, tuy nhiên, đã có hotfix cho lỗ hổng này cả cho phiên bản Windows XP. Khả năng khai thác hiện nay lỗ hổng này, là khá nhỏ. Do đó NotPetya có các cuộc tấn công khác. Trong số những hoạt động khác, Trojan cố gắng sao chép chính nó vào thư mục ADMIN $ ẩn của các máy tính khác và sau đó khởi động bởi tập tin thực thị PsExec - tuy nhiên nó cần quyền quản trị trong miền. Nếu không lấy được, NotPetya vẫn có khả năng sử dụng mệnh lệnh Windows Management Instrumentation Command-line (WMIC) để chạy trên máy tính khác. Để lấy được quyền cần thiết, NotPetya mang theo một công cụ lấy mật mã, giống như công cụ Mimikatz và LSADump.[13]

Bên cạnh đó, các nhà nghiên cứu bảo mật phát hiện ra, những thiệt hại do NotPetya gây ra không thể sửa chữa. Matt Suiche nhận thấy, NotPetya ghi đè lên một phần của MBR mà không thể đảo ngược được - vì vậy không có cách nào để khôi phục lại tình trạng ban đầu. Kaspersky lưu ý trong phân tích của ông, NotPetya thậm chí không quan tâm đến việc tạo ra một ID thực sự cho các máy tính bị nhiễm. ID này phải được nạn nhân cho biết khi trả tiền chuộc. Tuy nhiên, vì nó không chứa thông tin về dữ liệu được mã hóa, các kẻ tống tiền cũng không thể định rõ là nó thuộc chìa khóa nào. Cụ thể, điều này có nghĩa rằng ngay cả khi họ muốn, các tác giả NotPetya cũng không thể giúp đỡ các nạn nhân trong việc khôi phục các dữ liệu bị ghi đè hoặc bị mã hóa.[14]