Представитель семейства троянских программ, шифрующих файлы на компьютерах пользователей и требующих деньги за их расшифровку. Написан на языке Delphi, не упакован.
Установка
В процессе запуска выполняет проверку директории, из которой был запущен: если путь отличается от C:\Program Files\Internet Explorer\lass.exe, с использованием .bat-файла копирует себя в указанную папку и с целью обеспечения автоматического запуска модифицирует ветвь системного реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run, затем запускает свою копию, после чего завершает основной процесс.
Контроль повторного запуска
Проверяет наличие файла C:\Program Files\Internet Explorer\finish.lass.html, в случае его обнаружения удаляет себя с помощью .bat-файла. Создает файл C:\Program Files\Internet Explorer\index.bat, который регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений, и открывает в полноэкранном режиме браузера Microsoft Internet Explorer файл C:\Program Files\Internet Explorer\finish.lass.html , который извлекает из собственных ресурсов.
Шифрование
Выполняет шифрование файлов, хранящихся на несъемных носителях, составляя список по расширениям, перечень которых содержится в коде троянца. Не шифрует файлы, расположенные в каталогах Windows, RECYCLER, Program Files. Шифрованные файлы получают дополнительное расширение *.oplata@qq.com(_id567), *.relock@qq_com, *.crypto, *.pizda@qq_com, *.kozel@qq_com, *.nalog@qq_com, *.chifrator@gmail_com, *.gruzin@qq_com, *.troyancoder@gmail_com, *.coderksu@gmail_com_id*. Для шифрования используется алгоритм AES.
