Вредоносная программа, являющаяся представителем семейства троянцев-шифровальщиков, шифрующих данные на компьютере жертвы и требующих выкуп за их расшифровку.
Один из выявленных способов ее распространения — массовая почтовая рассылка с вложением. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускает данную копию.
Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N:, получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если данные серверы недоступны, троянец выводит на экран сообщение с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка «Crypted», также троянец меняет обои Рабочего стола Windows на изображение с инструкцией по разблокировке компьютера.
Кроме того, на компьютере жертвы появляется текстовый файл ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого инфицированного компьютера.
