Petya được phát hiện lần đầu tiên vào tháng 3 năm 2016;[1] Check Point ghi nhận, trong khi nó ít nhiễm các máy tính hơn các mã độc tống tiền khác hoạt động vào đầu năm 2016: như CryptoWall, nó có sự khác biệt đáng chú ý trong hoạt động khiến cho nó được xem là bước tiến trong quá trình tiến hóa mã độc tống tiền.[2] Một biến thể của Petya phát hiện tháng 5 năm 2016 chứa đựng một payload thứ 2 được sử dụng nếu phần mềm độc hại không thể đạt được quyền truy cập admin.[1]

Cuộc tấn công máy tính 2017

Vào ngày 27 Tháng 6 năm 2017, một cuộc tấn công mạng lớn toàn cầu bắt đầu (các công ty Ukraina cho biết đầu tiên là họ bị tấn công)[3]), sử dụng một biến thể mới của Petya. Kaspersky Lab thông báo các vụ nhiễm mã độc ở Pháp, Đức, Ý, Ba Lan, Vương quốc Anh và Hoa Kỳ, nhưng phần lớn các vụ nhiễm nhắm vào Nga và Ukraine, nơi có hơn 80 công ty ban đầu bị tấn công, bao gồm Ngân hàng Quốc gia Ukraina.[3][4] Chuyên gia Christiaan Beek của McAfee cho biết, biến thể này được thiết kế để phát tán một cách nhanh chóng, và nó nhắm vào các "công ty năng lượng, mạng lưới điện, trạm xe buýt, trạm xăng, sân bay, và các ngân hàng" [3][5] ESET ước lượng vào ngày hôm sau là 80% của tất cả các máy bị nhiễm là ở Ukraina, Đức đứng thứ 2 với khoảng 9%.[6] Cùng ngày, bí thư báo chí cho tổng thống Nga Vladimir Putin, Dmitry Peskov, cho biết cuộc tấn công của phần mềm độc hại không gây hư hại đáng kể ở Nga.[6] Kaspersky mệnh danh biến thể này là "NotPetya", vì nó có sự khác biệt lớn trong các hoạt động của nó so với các phiên bản trước đây.[3]

Bộ phận an ninh của Cisco, Talos, tin rằng một số trường hợp nhiễm virus có liên quan đến các hệ thống cập nhật phần mềm cho một trình kế toán thuế Ukraina gọi là MeDoc và phương pháp mà nạn nhân có thể trả chi phí tiền chuộc đã bị vô hiệu hóa vào ngày 27 tháng 6 năm 2017 [7]. Các chuyên gia tin rằng, đây là một cuộc tấn công có động cơ chính trị vào Ukraina[7][8] Hỗ trợ cho lý thuyết này là ngày 28 tháng 6 ngày lễ Hiến pháp Công dân Ukraina.[7][8] MeDoc khẳng định nó không phải là nguồn gốc của mã độc tống tiền, xác nhận các văn phòng của chính nó đã bị ảnh hưởng bởi cuộc tấn công này.[9] Vào ngày 28 tháng 6 năm 2017, càng ngày càng có nhiều chuyên gia bảo mật cho rằng có các tập tin ghi nhận (log file) cho thấy MEDoc là nguồn lây nhiễm [6]. Chuyên gia về phần mềm độc hại của Anh, Marcus Hutchins, đã kết thúc vụ bộc phát vụ ransomware WannaCry - tuyên bố "Có vẻ như hệ thống cập nhật tự động của phần mềm đã bị xâm nhập và bị sử dụng để tải về và chạy phần mềm độc hại thay vì cập nhật phần mềm." [6] Mikko Hyppönen, chuyên gia an toàn máy tính tại F-Secure, sau khi nghiên cứu nhiều công ty bị ảnh hưởng đã phát hiện ra rằng một số người đã thực sự sử dụng phần mềm MeDoc, tuyên bố, "Nếu bạn kinh doanh ở Ukraina, hầu như bạn đều sử dụng phần mềm này".[6]