rtf, txt, pdf, csv, frm, css, xls, mdb, dbf, dbt, db, safe, flb, pst, pwl, pwa, pak, rar, zip, arj, gz, tar, sar, htm, html, cgi, pl, kwm, pwm, cdr, dbx, mmf, tbb, xml, frt, frx, gtd, rmr, chm, mo, man, c, cpp, h, pgp, gzip, lst, pfx, p12, db1, db2, cnt, sig, css, arh, pem, key, prf, old, rnd и prx. После того, как файлы зашифрованы, троянец создает файл readme.txt, в котором поясняется, что для дешифрации файлов нужно переслать определенную сумму на адрес разработчика троянской программы. При этом для связи рэкетир использует почтовый адрес в домене rambler.ru, хотя само предупреждение написано по-английски. Однако совсем необязательно перечислять деньги рэкетиру - на сайте Dr. Web можно бесплатно получить программу для дешифрования файлов или же дешифровать ее с помощью специального Web-сервиса. Аналогичная возможность есть и у пользователей "Антивируса Касперского" - программа дешифрации добавлены в антивирусные базы продуктов этой компании.