Вирус является приложением Windows (PE EXE-файл). Упакован UPX. Размер в упакованном виде — примерно 56 КБ, размер в распакованном виде — примерно 122 КБ.
После запуска вирус шифрует найденные на диске зараженного компьютера файлы со следующими расширениями:
arj cdr cgi css csv db dbf dbt dbx doc flb frm frt frx gtd gz htm html kwm mdb mmf pak pdf pl pst pwa pwl pwm rar rmr rtf sar tar tbb txt xls xml zip
Оригинальный файл вируса после запуска удаляется.
В начале каждого зашифрованного файла можно обнаружить следующую строку:
PGPcoder
Кроме того, в папках с зашифрованными файлами появляются файлы readme.txt примерно следующего содержания:
Some files are coded. To buy decoder mail: md56@mail.ru with subject: PGPcoder md56
Версия шифровальщика и адрес email могут различаться в различных модификациях данного вируса.
При обращении по указанному адресу пострадавшим предлагается заплатить определенную сумму за расшифровку необходимых им файлов.
Храним важное в надежном месте