В процессе изучения криптовымогателя Ranscam выяснился механизм его работы. После запуска исполняемого .NET файла, подписанного цифровым сертификатом reca[.]net, программа копирует себя в %APPDATA%\, затем прописывается в автозагрузке и распаковывается в %TEMP%\. Следом создается и запускается исполняемый файл, который начинает якобы шифровать ряд пользовательских папок. На самом же деле все просто-напросто удаляется. Безвозвратно. В довершение всего пользователь видит окно с номером биткоин-кошелька, на который предлагается внести определенную сумму для "расшифровки" файлов, что, конечно же, не имеет смысла. В очередной раз хотим напомнить - будьте бдительны!