(Libertad Digital) Este troyano suele distribuirse en CD-R, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC o redes de intercambio de archivo.
Su "modus operandi" supone un nuevo esquema de actuación, poco utilizado hasta la fecha. Una vez instalado en el ordenador, el código crea dos claves en el registro, una para asegurar su ejecución en cada inicio del sistema y una segunda para llevar un control de los progresos en el ordenador infectado, contando el número de ficheros que el troyano ha analizado.
Cuando se ejecuta, codifica por medio de una clave digital de cifrado todos los archivos que encuentre en el ordenador que posean una de las extensiones que tiene en su código. Entre las que posee están "doc", "html", "jpg", "xls", "zip" y "rar", todos ellos formatos muy comunes. Para llevar a cabo el chantaje, el troyano deposita un fichero de texto dentro de cada directorio, donde se indica la acción que se ha llevado a cabo, y se facilita una dirección de correo donde solicitar el "rescate" de los documentos, previo pago de una cantidad de dinero, 200 dólares.
Symantec informa de que el troyano ataca a sistemas operativos de Microsoft como Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 y Windows XP.