Компания «Доктор Веб» разработала утилиту, успешно справляющуюся с последствиями действий вируса Trojan.Encoder.252, который шифрует данные пользователей и вымогает деньги за их расшифровку. Правда, для подбора ключей потребуется компьютер с мощной аппаратной конфигурацией: на обычных домашних ПК этот процесс может занять около месяца.
Вредоносная программа попадает на компьютеры через спам-рассылку якобы от арбитражного суда. Запустившись на устройстве жертвы, вирус сохраняет свою копию в одной из системных папок под именем svhost.exe и модифицирует ветвь системного реестра. Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители и получает список файлов с заданными расширениями, который сохраняет в текстовый файл. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а на Рабочем столе устанавливаются обои с извещением об активности вируса. Также на компьютере жертвы появляется текстовый файл ПРОЧТИЭТО.txt, содержащий идентификационный номер для расшифровки файлов, уникальный для каждого компьютера.