Найденный «Лабораторией Касперского» шифровальщик по сути является ботом Telegram – его создатели заранее получили от серверов мессенджера уникальный токен, идентифицирующий бота, и поместили его в тело зловреда. Этот прием позволяет вредоносной программе использовать публичный API-интерфейс Telegram и поддерживать таким образом связь с злоумышленниками. К примеру, шифровальщик извещает киберпреступников о факте заражения компьютера посредством отправки сообщения в чат с заданным номером.
Что касается непосредственно шифрования, то зловред использует один из простейших алгоритмов. В зависимости от настройки программа может добавлять зашифрованным файлам расширение. Xcri, либо вообще не менять название файла.
В «Лаборатории Касперского» просят пользователей, ставших жертвой бота-шифровальщика, не платить злоумышленникам, а обращаться в службу поддержки компании за помощью в расшифровке.