Эксперты компании "Доктор Веб" обнаружили первого шифровальщика, написанного на языке Go - Trojan.Encoder.6491.
Trojan.Encoder.6491 при запуске устанавливает себя в систему под именем Windows_Security.exe. Затем троянец начинает шифровать хранящиеся на дисках файлы с помощью алгоритма AES. В процессе работы вредонос пропускает файлы, в имени которых содержатся следующие строки: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, Recycle.Bin, System Volume Information, Boot, Windows, .enc, Instructions и Windows_Security.exe.
Троянец шифрует файлы 140 различных типов, определяя их по расширению. Trojan.Encoder.6491 кодирует оригинальные имена файлов методом Base64, а затем присваивает зашифрованным файлам расширение .enc. Затем шифровальщик открывает в окне браузера файл Instructions.html с требованием выкупа в криптовалюте Bitcoin.
"Умный" Trojan.Encoder.6491 с определенным интервалом проверяет баланс Bitcoin-кошелька, на который жертва должна перевести средства. Зафиксировав денежный перевод, троянец автоматически расшифровывает все закодированные ранее файлы с использованием встроенной функции.