Esse malware é conhecido por atacar grandes organizações e estava mais ativo no início deste ano”, disseram os pesquisadores  Fedor Sinitsyn , Vladimir Kuskov no blog da empresa.

Segundo eles, o RansomEXX é um trojan altamente direcionado: “Cada amostra contém um nome codificado da organização da vítima. Além disso, tanto a extensão do arquivo criptografado quanto o endereço de e-mail para contato com os extorsionários fazem uso do nome da vítima”, explicam. Além do STJ, várias empresas foram vítimas desse malware nos últimos meses, incluindo o Departamento de Transporte do Texas (TxDOT) e a japonesa Konica Minolta. Os especialistas explicam que ao ser iniciado,  o trojan gera uma chave de 256 bits para criptografar os arquivos da vítima.

Além de criptografar os arquivos e deixar notas de resgate, diz o blog, “a amostra não tem nenhuma das funcionalidades adicionais que outros agentes de ameaças tendem a usar em seus cavalos de Tróia: nenhuma comunicação C&C, nenhum encerramento de processos em execução, nenhum truque de anti-análise, etc”. Apesar de serem construídas por diferentes compiladores com diferentes opções de otimização e para diferentes plataformas, a semelhança entre as versões Windows e Linux é bem clara. O relatório mostra também que a nota de resgate da versão Linux é quase idêntica à da amostra obtida no incidente do STJ.