Jest to wirus o rozmiarze około 61 KB (kompresja UPX, rozmiar po rozpakowaniu - około 134 KB). Ma postać pliku PE EXE. Szkodnik został szeroko rozpowszechniony w Rosyjskim segmencie Internetu przy użyciu technologii spamowych.

Po uruchomieniu wirus szyfruje pliki posiadające następujące rozszerzenia:

arh
arj
c
cdr
cgi
chm
cnt
cpp
css
csv
db
db1
db2
dbf
dbt
dbx
doc
flb
frm
frt
frx
gtd
gz
gzip
h
htm
html
key
kwm
lst
man
mdb
mmf
mo
old
p12
pak
pdf
pem
pfx
pgp
pl
prf
prx
pst
pwa
pwl
pwm
rar
rmr
rnd
rtf
safe
sar
sig
tar
tbb
txt
xls
xml
zip

Podczas szyfrowania wirus wykorzystuje elementy algorytmu RSA.

Korzystanie z zaszyfrowanych plików jest niemożliwe. Autor wirusa żąda od użytkownika pieniędzy za odszyfrowanie danych. W folderach zawierających zaszyfrowane pliki pojawia się plik o nazwie readme.txt. Plik ten zawiera następujący tekst (adres e-mail i klucz szyfrujący może być inny):

Some files are coded by RSA method.
To buy decoder mail: *****sh34@rambler.ru           
with subject:  RSA 5 ********728578411

Przypominamy wszystkim użytkownikom, że należy z ogromną ostrożnością podchodzić do załączników podejrzanych wiadomości e-mail. Ponadto, użytkownicy nigdy nie powinni kontaktować się z twórcami szkodliwego oprogramowania, ani tym bardziej płacić im, ponieważ daje im to motywację do tworzenia kolejnych wirusów.

Usuwanie wirusa z systemu

W celu usunięcia wirusa z zainfekowanego systemu należy wykonać następujące operacje:

1. Przeprowadzić pełne skanowanie komputera (w tym celu można skorzystać z wersji testowej programu Kaspersky Anti-Virus).
2. Jeżeli program antywirusowy nie odszyfruje zainfekowanego pliku należy go wysłać pod adres newvirus@kaspersky.pl gdzie zostanie poddany szczegółowej analizie.