Iš pradžių virusas buvo nutaikytas į angliškai kalbančias aukas, tačiau naujausi pavyzdžiai buvo papildyti ir rusų kalba. Šis faktas, taip pat kai kurios kodo eilutės leidžia teigti, kad už šios programos slepiasi rusiškai kalbantys apgavikai, teigia „Kaspersky Lab“ specialistai.
Tai įrodo ir užkrėtimo geografija: daugiausia incidentų užregistruota NVS teritorijoje. Pavieniai užkrėtimai įvykdyti Vokietijoje, Bulgarijoje, Izraelyje, AAE ir Libijoje.
Iš pirmo žvilgsnio bendra šifruotojo darbo schema gana tipinė: virusas vykdomą failą prideda prie sistemos užduočių planavimo sąrašo, po to atlieka failų su tam tikrais išplėtimais paiešką, juos užšifruoja ir rodo vartotojui išpirkos reikalavimą. Tačiau realizavimas papildytas viena naujove – apgavikų komandinis serveris yra anoniminiame „Tor“ tinkle.
Tai principinis naujojo viruso skirtumas nuo kitų kenkėjiškų programų, išnaudojančių „Tor“ anonimiškumą: anksčiau apgavikai naudojosi teisėta programine įranga, sukurta „Tor“ kūrėjų prijungti kompiuterį prie šio tinklo, o dabar sąveikos kodas realizuotas kenkėjiškos programos viduje. Tai leidžia jai naudotis „Tor“ tinklu be papildomų paleidžiamųjų failų ir procesų.
Taip pat aptikta viruso modifikacija skiriasi nestandartiniu šifravimo būdu, kuris papildomai apsaugo sąveiką su komandiniu serveriu. Dėl šios priežasties viruso siunčiamos informacijos perėmimas (t.y. unikalaus rakto, kuriuo užšifruoti failai) nepadės atblokuoti vartotojo duomenų.
„Šis šifruotojas – naujos kartos „Trojos“ virusų šantažuotojų atstovas. Jo autoriai pasinaudojo žinomomis technologijomis, jau taikytomis viruso pirmtakams, pavyzdžiui, išpirkos reikalavimu „Bitcoin“ valiuta, taip pat šiai kenkėjiškos įrangos klasei visiškai naujais sprendimais. Pavyzdžiui, komandinio serverio slėpimas anoniminiame „Tor“ tinkle apsunkina apgavikų paiešką, o dėl panaudotos neįprastos kriptografinės schemos neįmanoma iššifruoti failų netgi perėmus mainų srautą tarp viruso ir serverio. Taigi virusas tampa pavojingas, nes kol kas tai vienas iš techniškai pažangiausių virusų-šifruotojų“, – pabrėžė Fiodoras Sinicynas, „Kaspersky Lab“ vyriausiasis antivirusų analitikas.
