Avtor virusa v navodilih od uporabnika zahteva, naj mu za odklepanje datoteke nakaže 50 evrov na račun, odprt pri Ukashu ali Paysafecardu. Škodljiv program datoteke odklene, ko vanj uporabnik vnese pravilno kodo, pri tem pa ima pet poskusov, preden se program izbriše in za seboj pusti še vedno kriptirane datoteke. Program poleg tega priredi nastavitve računalnika, tako da se ob odpiranju katere koli kriptirane datoteke z omenjenim podaljškom odpre izsiljevalno sporočilo.
Pri Slovenskem centru za obravnavo omrežnih incidentov (SI-CERT) so nam pojasnili, da primeri okužbe niso lokalizirani na Slovenijo, temveč gre za širšo težavo. Kako se je okužbi uspelo širiti, še ni znano. Omenjajo možnost škodljivih povezav na Facebooku, predvsem pa sumijo, da gre za primere tako imenovanih drive-by prenosov podatkov, ko napadalec v spletno stran vnese škodljivo povezavo, ki uporabniku nato na računalnik namesti virus.
Včeraj se je na SI-CERT v zelo kratkem časovnem intervalu obrnilo 15 uporabnikov, ki so prijavili okužbo, prvi primer pa naj bi se zgodil že minulo nedeljo, so nam pojasnili. Število okužb v Sloveniji bi lahko bilo tudi večje, prizadete pa so lahko tudi datoteke, ki so dostopne prek skupnih lokalnih omrežij, v katera so vključeni okuženi računalniki.
Pri SI-CERT pravijo, da jim je več uporabnikov poročalo o uspešnem dešifriranju podatkov z datoteko te94decrypt.exe ruskega protivirusnega podjetja Dr.Web, a opozarjajo, da programa še niso ustrezno analizirali, tako da ga uporabniki uporabljajo na lastno odgovornost. Svetujejo, naj si z njim pomagajo samo naprednejši uporabniki računalnikov, saj bi program lahko datoteke pokvaril in le delno dešifriral. Da bi se izognili vsem morebitnim težavam, svetujejo izdelavo varnostnih kopij diska, s katerimi lahko uporabniki v primeru poznejše okužbe zašifrirane datoteke restavrirajo.
