Троянец-шифровальщик, написан на языке Delphi. Первые версии были обнаружены в апреле 2011 года, с тех пор регулярно появляются новые модификации. Выполняет шифрование файлов пользователя с помощью алгоритма RSA, что делает крайне сложной полноценную расшифровку без закрытого ключа. Также в силу использования в коде троянца 32-битной переменной, энкодер записывает свою информацию в начало файлов объемом выше 4 Гбайт, что приводит к их порче и невозможности их восстановления. Также в файл добавляются несколько блоков «мусорных данных» с шагом в 0x400 байт.
Информацию для расшифровки файлов троянец сохраняет в конце файла в виде блока шестнадцатеричных данных.
Как правило, данный шифровальщик не меняет имена файлов, текст с требованиями выкупа за расшифровку информации размещает на Рабочем столе Windows. В качестве контактов могут быть указаны следующие: pomogiotkosit@yahoo.com, zog666@yahoo.com, harry.codder@yahoo.com, gruzinrussian@aol.com, evromaidan2014@aol.com, cryptolocker@aol.com,cryptfiles@aol.com.
При отсутствии ключа возможно частичное восстановление данных, пострадавших от действия данной вредоносной программы.
