به گزارش پاندا سکیوریتی، زمانی که سیستم قربانی توسط این تروجان در معرض خطر قرار گرفته است، این تروجان شروع به ارسال پیامهای فوری به قربانی میکند؛ چراکه اعتبار فعلی ورود کاربر به ویندوز را تغییر داده و بعد از Restart سیستم یک اعتبار ورود جدید ایجاد کرده است. همچنین نام کاربری کاربر را به این جمله تغییر داده است: اگر یکبار دیگر رمز عبور خود را میخواهید با ما تماس بگیرید. این پیغام به محض بالا آمدن ویندوز، به قربانی نمایش داده میشود و از این به بعد اجازه ورود کاربر به سیستم تا زمان دریافت رمز عبور جدید داده نمیشود.
در نمونهای از این تروجان که توسط محققان امنیتی بررسی شده است، رمز عبور به tan123456789تغییر کرده است اما این احتمال وجود دارد که این رمز عبور از سوی نویسندگان تروجان برای هر حملهای مورد استفاده قرار نگیرد.
وقتی قربانی با شناسه کاربری مربوطه که احتمالا متعلق به نویسندگان ویروس است، تماس میگیرد، بیانیهای برای وی ارسال میشود که در آن در ازای ارائه رمز عبور 3/5دلار پول درخواست شده است. همچنین گفته شده رمز عبور به محض دریافت پول برای کاربر ارسال میشود و در غیراین صورت سیستم وی بهطور کامل مسدود خواهد شد.
آزمایشگاه پاندا سکیوریتی که این تروجان را با نام Trj/Ransom. AB شناسایی کرده است، به کاربران اطمینان خاطر داده که سیستمشان آلوده نخواهد شد لیکن برای بازگرداندن سیستم آن دسته از کسانیکه بدون آنتیویروس مطمئن قربانی این حمله شدهاند و راهکارهایی را به قربانیان پیشنهاد داده است:
رمز عبور tan123456789 را امتحان کنید، شاید کارایی داشته باشد.
از سیدیهای بوت ضدویروس پاندا استفاده کنید.
از یک حساب کاربری ادمین دیگر برای ورود به سیستم استفاده کنید و در نخستین مرتبه ورود، رمز عبور خود را تغییر دهید.
اگر حساب کاربری فعلی شما سوپرادمین نیست، وارد محیط Safe mode شده و بهعنوان یک سوپرادمین وارد سیستم شده و رمز عبور خود را تغییر دهید.
از دیسک ریکاوری ویندوز برای تغییر رمز عبور استفاده کنید.
هر کاری بکنید الا اینکه به اخاذان پولی پرداخت کنید.