Компанія «Лабораторія Касперського» повідомила, що один з найбільш часто зустрічаються сьогодні в Росії троянців-шифрувальників не тільки несе небезпеку сам по собі, але і завантажує в систему жертви ряд інших шкідників. Shade потрапляє на комп'ютер жертви двома способами: або через спам-розсилки, або з допомогою експлойтів. У першому випадку жертва отримує лист з шкідливим вкладенням, спроба відкрити яка призводить до зараження системи. Ім'я файлу змінюється з кожною новою хвилею розсилки. У другому випадку шкідливий код з'являється в системі після відвідування жертвою скомпрометованого веб-сайту. Це може бути як сайт, спеціально створений зловмисниками, так і легальний, але зламаний ресурс. Шкідливий код на сайті експлуатує уразливість в браузері або його плагінах, після чого в систему таємно встановлюється програма-вимагач. Після потрапляння на комп'ютер жертви Shade починає шифрувати файли і додавати до них розширення .xtbl і .ytbl. Крім своєї прямої основної роботи Shade завантажує і встановлює в систему користувача інші шкідливі програми декількох різних сімейств, наприклад програми підбору паролів до веб-сайтів. Ще одне шкідливе ПО, завантажуване шифрувальником, відомо як Trojan-Downloader.Win32.Zemot – цей шкідник в свою чергу може встановлювати на комп'ютер жертви відомий банківський троян ZeuS.