Eu corri ...
Como prometi, instalei o wine em uma máquina virtual da Debian, peguei uma amostra do Petya, rodei-os diretamente e usei: rundll32 path,#1
, com usuário regular e root e nada aconteceu com minha VM ou seu MBR.
Como se propagam?
Petya usa o exploit Eternal Blue e técnicas clássicas de espalhamento de redes SMB.
O CVE relacionado desta vulnerabilidade para o Linux é: "CVE-2017-7494" que já foi corrigido:
Meu Ubuntu é vulnerável ao SambaCry?
perfc e perfc.dat:
Symantec afirma que Petya cria um arquivo "C: \ Windows \ perfc" para indicar que o computador foi infectado e o "perfc.dat" é o que ele usa para se auto-executar.
Para parar o petya, você deve criar um arquivo somente leitura aqui: "C: \ Windows \ perfc.dat", então o petya não pode escrever e executar sozinho.
E "C: \ Windows \ perfc" é um tipo de interruptor de matar se "Petya" for executado, depois de ver este arquivo ele considera seu computador como infectado e só tenta infectar outros dispositivos de rede.
Criptografia e MBR :
Após a infecção, tenta mudar o MBR. um MBR tem três seções: tabela de partição, código de inicialização, código mágico. alterando o código de boot, ele pode seqüestrar o processo de boot, então ao invés de carregar um bootloader você verá uma mensagem e por trás dessa mensagem ele irá iniciar uma criptografia completa do disco, antes da mensagem final um disco falso.
Com "wine" ele não pode mudar seu MBR (a menos que você execute o vinho usando sudo), ele apenas tenta infectar outros dispositivos.
Ele também faz uma criptografia de modulação do usuário, para o efeito, após a infecção, procura extensões específicas em todas as unidades e começa a criptografar os primeiros 1 MB delas.
Então parece que não há nada para se preocupar a menos que você o use usando o acesso root e wine.
fonte: symantec .