Jak można zarazić się wirusem? Zazwyczaj infekcję przeprowadza sam użytkownik, nieświadomy swojego działania. Trojan można ściągnąć, otwierając podejrzane strony internetowe czy też otwierając załącznik wiadomości mailowej, który podszywa się pod standardowy plik PDF. Filecoder może zostać również pobrany przez inne złośliwe oprogramowanie, które wcześniej dostało się do naszego komputera. Najgroźniejszą formą infekcji jest jednak atak za pośrednictwem protokołu RDP (Remote Desktop Protocol), czyli z wykorzystaniem tzw. zdalnego pulpitu. Aktualnie nie wiadomo, w jaki sposób hakerzy uzyskują dane logowania do zdalnego pulpitu. Już sam atak za pośrednictwem RDP jest bardzo niebezpieczny, ponieważ atakujący uzyskuje pełną kontrolę nad danym komputerem – może obserwować co użytkownik widzi na swoim monitorze, może przejąć kontrolę nad wskaźnikiem myszy, wprowadzanym tekstem itd.
W zależności od wersji Filecoder szyfruje wybrane pliki w całości lub tylko w części, korzystając z różnych algorytmów (Blowfish, AES, RSA lub TEA). Zabezpieczone zbiory zastępują oryginalne pliki, które są albo usuwane (te czasami udaje się odzyskać za pomocą specjalnych narzędzi), albo nadpisywane (w tym wypadku odzyskanie oryginalnego pliku jest trudniejsze, a czasami po prostu niemożliwe). Wersje Filecodera rozprzestrzeniane za pośrednictwem RDP dodatkowo zastraszają użytkownika, wyświetlając monit, wygenerowany rzekomo przez jedną z międzynarodowych organizacji (które w rzeczywistości nie istnieją). Zwykle zagrożenie powołuje się na Anti Cyber Crime Department of Federal Internet Security Agency lub na Anti-Child Porn Spam Protection.
Większość zagrożeń z rodziny Filecoder żąda od swoich ofiar okupu w kwocie od 100 do 300 Euro, ale odmiana Win32/Filecoder.NAC, atakująca głównie firmy, w zamian za odblokowanie dostępu do plików oczekuje aż 3000 Euro. By wzbudzić w ofiarach jeszcze większy strach wybrane wersje Filecodera dodatkowo wyświetlają zegar, który odlicza czas, jaki pozostał użytkownikowi na wpłacenie okupu. Jeśli użytkownik nie wniesie w określonym czasie stosownej opłaty zaszyfrowane pliki są trwale usuwane z zainfekowanego komputera. Najwięcej infekcji Filecoderem firma ESET zarejestrowała w Rosji, Włoszech, Hiszpanii, na Ukrainie i w Rumunii. Zagrożenie jest aktywne również w Niemczech, Polsce, Czechach oraz w Stanach Zjednoczonych.
Źródło: ESET