Mã độc đòi tiền chuộc này phát tán qua chiến dịch thư rác có đình kèm file JavaScript , khi tải và chạy sẽ cài đặt Trojan Nemucod lên PC của nạn nhân .
Nemucod là mã độc Downloader , một loại Trojan dùng để tải mã độc khác lên PC bị lây nhiễm . Trước kia chúng ta đã từng thấy Nemucod tải TeslaCrypt nhưng về sau tin tặc đã thay thế bằng Ransomware khác khóa những file với phần mở rộng CRYPTED .
Mã độc đòi tiền chuộc này chỉ mã hóa 2048 Byte đầu tiên của mỗi file theo thuật toán XOR .
Một người trên diễn đàn Bleeping Computer đã tạo ra công cụ giải mã dựa trên Python và Wosar đã thực hiện bước tiếp theo đó là chuyển nó thành file thự thi trong Windows để cho những người dùng thông thường có thể dễ dàng sử dụng .
Việc bẻ khóa Ransomware này rất đơn giản . Người dùng chỉ cần có một file đã bị mã hóa và cũng file này hoạt động bình thường lấy từ một nơi đã sao lưu . Họ chọn hai file này và kéo vào biểu tượng của công cụ giải mã , như hình dưới . Việc này sẽ khởi động Brute-Forcing của mã hóa để lấy khóa giải mã .
Sau đó người dùng chỉ cần bấm đúp vào công cụ giải mã để bắt đầu quá trình giải mã , chọn những thư mục có chứa những dữ liệu bị mã hóa , cung cấp khóa giải mã để bắt đầu việc giải mã .
Hướng dẫn từng bước cụ thể có trên diễn đàn Bleeping Computer , và người dùng có thể yêu cầu trợ giúp tại đây .
Nên nhớ rằng Nemucod có thể cài đặt mã độc khác nên bạn cần dùng công cụ Antivirus để làm sạch hệ thống cho an toàn .