Детальный анализ вымогательской программы RAA опубликован исследователями «Лаборатории Касперского». Первый вариант вредоносной программы был обнаружен в июне этого года. RAA полностью написана на языке программирования JavaScript.
Распространение RAA, замаскированной под документ Microsoft Word, осуществляется с помощью спам-рассылки. При проникновении в систему вредоносная программа шифрует файлы и требует выкуп в 250 долларов за восстановление информации.
Троянская программа содержит исполняемый файл, закодированный в Base64. Он загружается на диск и запускается после окончания процесса шифрования контента. В файл внедрена троянская программа Pony, занимающаяся сбором конфиденциальных данных. Так, программа похищает пароли, сохраненные в браузере, пароли для регистрации, применяемые во множестве FTP-клиентов, учетные данные почтовых сервисов и информацию о биткоин-кошельках. Кроме того, Pony крадет у пользователя цифровые сертификаты и имеет в своем распоряжении перечень самых популярных паролей.
Собранная информация шифруется с использованием алгоритма RC4 и отправляется на командный сервер злоумышленников.