Ļaunprogrammatūras tiek izplatīta ar surogātpasta vēstulēm, kam pievienots dokuments ar ļaunprātīgu izpildāmo datni.
Kad dokuments tiek atvērts, tiek palaista ļaunprātīgā datne. Tieši tad Trojas zirgs izlemj, kurš vērtums ir jālejupielādē upura datorā.
Ļaunprogrammatūra pārbauda, vai pastāv direktorijs «%AppData%\Bitcoin», kas var liecināt par vietējo bitmonētu maku krātuvi. Pēc pētnieku domām, tas liek pieņemt, ka upuri labprāt samaksās par datņu saņemšanu atpakaļ, tāpēc Trojas zirgs šifrē datnes ar šifrētājvīrusu. Tas uzbrucējam garantē drīzu peļņu. Pretējā gadījumā noziedznieki centīsies nopelnīt naudu uz upura rēķina, viņam nezinot palaiduši izracēju ar nosacījumu, ka datora jauda ir pietiekama resursietilpīgu izraces uzdevumu izpildei.
Interesanti, ka Trojas zirgs var arī izlemt pilnīgi ignorēt inficēto datoru un nelejupielādēt ne šifrētājvīrusu, ne izracēju.
Tomēr tas neļauj upurim norauties no āķa, jo tik un tā tiek palaistas tīkla tārpa funkcijas,
Tas ir - Trojas zirgs mēģinās izplatīt kopijas uz visiem upura vietējā tīklā pieejamajiem datoriem.
«Ļaunprogrammatūras spēja izlemt, kuru vērtumu tā lietos upura inficēšanai, ir vēl viens kibernoziedznieku izmantotās pielāgošanās taktikas piemērs. Viņi vienmēr centīsies gūt labumu no upuriem, vai nu tieši izspiežot naudu (ar šifrētājvīrusu), bez atļaujas izmantojot lietotāja resursus savām vajadzībām (ar izracēju) vai izmantojot upuri ļaunprogrammatūras izplatīšanas ķēdē (ar tīkla tārpu),» sacīja Kaspersky Lab ļaunprogrammatūru analītiķis Orhans Mamedovs.
Antivīrusu kompānijas izstrādājumi nosaka aprakstīto ļaunprogrammatūru ar šiem verdiktiem:
Lejupielādētājs: Trojan-Downloader.Win32.Rakhni.pwc
Izracējs: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu
Šifrētājvīruss: Trojan-Ransom.Win32.Rakhni.wbrf
