Rusya üzerinden dalga dalga yayılan Trojan türü tehdit hızla artmaktadır. Tipik Rasomware tarzı olan tehditte sisteminize bulaşan trojan bütün kişisel verilerinizi şifreliyor ve geri sayım başlıyor. Bu süreçte ödeme yapmadığınız taktirde şifrelenmiş bütün dosyalarınız geri alınamayacak şekilde siliniyor.
Trojan Çalışma Döngüsü:
Trojan içerikli dosya aşağıdaki özelliklere sahiptir.

Sistem yeniden başlatıldığında aktif olarak çalışmak için aşağıdaki anahtarı oluşturmaktadır.

• %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.exe (copy of original) [Detected as GAV: Svchostix.A (Trojan)

C&C Sunuculara bağlanmak için talepte bulunur.

Bilgisayar masaüstünde oluşturulan dosyalar.

• YourId.txt
• YourId (Rusça)
• Hacked.txt

Trojan ele geçirdiği sistemin bütün Desktop/Downloads ve Documents klasörlerinin içerisindeki dosyaları .Slient uzantsıyla şifreler.

YourID.txt dosyası oluşturarak detaylandırır.

Son olarak sizden istediği fidyenin içeriğini oluşturduğu dosya hacked.txt ismiyle kaydeder.

Kaynak: Dell Sonicwall