Trojan.Ransomserv szyfruje pliki w systemie oraz otwiera back doory w zaatakowanym systemie. Obecnie na liście obsługiwanych systemów są wszystkie wersje Windows od Windows 95 do Windows 7, w tym serwerowe.
Zakażając komputer trojan może utworzyć folder
C:\ProgramData
Następnie kończy działanie wszystkich usług niesystemowych. Ponadto wyłącza funkcję autorun. Kolejnym etapem jest skasowanie folderu Windows Startup.
Kasuje też z rejestru wpisy
Kod: Zaznacz cały
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
Na koniec zaczyna szyfrować wszystkie znalezione pliki, po czym wyświetla komunikat
Warning! Access to your computer is limited. Your files have been encrypted.
żąda on za ich odszyfrowanie równowartość kwoty 4 tysięcy dolarów.