Програма являє собою програму-завантажувач, що поширюється по електронній пошті. Основне призначення цієї програми - завантаження та запуск трояна-шифровальщика Trojan.Encoder.686, що представляє для користувачів серйозну загрозу, оскільки потерпілі від його дії файли в даний час не піддаються розшифровці.

Шкідлива програма розсилається у вигляді вкладеного в повідомлення ZIP-архіву. Він містить .SCR-файл - до даного типу за замовчуванням відносяться скрінсейвери (заставки) Windows. При спробі запуску файлу з архіву програма витягує зі свого тіла, зберігає на диск і відкриває на екрані атакованого комп'ютера текстовий RTF документ.

Одночасно встановлюється з'єднання з одним із належать зловмисникам віддалених серверів, з якого на ПК завантажуються компоненти шифровальщика Trojan.Encoder.686. Успішно инициализировавшись на зараженому комп'ютері, троян виконує шифрування файлів користувача, після чого демонструє на екрані заздалегідь сформоване зловмисниками повідомлення.

Цікаво, що злочинці відводять своїм жертвам лише 96 годин на оплату розшифровки файлів, погрожуючи при цьому, що в разі відмови від співпраці всі дані будуть втрачені назавжди. При цьому за детальною інформацією про умови і суму викупу кіберзлочинці пропонують постраждалим користувачам звернутися на сайт, розташований в анонімної мережі TOR.

Троян зібраний з використанням бібліотек TOR і OpenSSL, криптографію яких активно використовує. У процесі шифрування активно експлуатуються можливості CryptoAPI з метою отримання випадкових даних і еліптична криптографія, у зв'язку з чим розшифровка постраждалих файлів в даний момент не представляється можливою.

pkhelp.net.ua