باتوجه به شیوع گسترده باج افزار معروف locky، اخیرا این باج افزار شناخته شده، بر روی فایلهای رمزنگاری شده، پسوندی با نام shit . را قرار می دهد. در نمونه های قبلی، نحوه ی install این باج افزار بر روی سیستم قربانی توسط یک DLL آلوده بود که توسط برنامه قانونی Rundll32.exe بر روی سیستم عامل ویندوز قربانی نصب می شد. در این نسخه جدید هم روال کار به همین منوال می باشد و پس از اجرای باج افزار، شروع به جستجوی فایلهای خاص بر روی سیستم قربانی کرده و آنها را رمزنگاری می کند و با پسوند .shit نمایان می سازد.
به گفته ی MalwareHunterTeam این باج افزار از طریق هرزنامه ها خود را گسترش می دهد. روش کار بدین صورت است که ایمیل هایی همراه با فایل های پیوستی با پسوند های اسکریپتی همچون HTA-JS و WFS برای قربانیان ارسال می گردد که پس از اجرای آن فایلها توسط قربانیان، یک فایل رمزنگاری شده DLL بر روی سیستم قربانی دانلود می شود و توسط همان اسکریپت ها رمزگشایی شده و توسط برنامه قانونی در خورد ویندوز به نام Rundll32.exe اجرا می گردد که در نهایت باج افزار را بر روی سیستم قربانی نصب می کند.
پس از نصب و اجرای باج افزار، باج افزار به صورت خودکار به دنبال حدود 380 نوع پسوند فایل های مختلف بر روی سیستم قربانی می گردد و آنها را با استفاده از الگوریتم AES رمزنگاری می کند و پسوند .shit را بر روی نام نهایی فایل رمزنگاری شده قرار می دهد.
در زیر لیست تمامی extension فایل هایی که این باج افزار به دنبال آنها می گردد را مشاهده می فرمایید:
در پایان عملیات رمزنگاری فایلها، یک پیغام همراه با روش پرداخت پول برای قربانی ظاهر می گردد. نام های جدید فایلهای پیغام که برای قربانی نمایش داده می شود به ترتیب زیر می باشد:
- _WHAT_is.html
- _[2_digit_number]_WHAT_is.html
- _WHAT_is.bmp
- 15