Họ cảnh báo cho những công ty Mỹ về mối đe dọa mới này .
Được nhận dạng với tên gọi Samas , Kazi hoặc RDN/Ransom , mã độc đòi tiền chuộc này đã hoạt động trong ba tháng qua và đã lây nhiễm tới một số người dùng ở Châu Âu , Trung Quốc và Ấn Độ và ảnh hưởng nhiều nhất tại Mỹ .
Theo Trung tâm bảo vệ mã độc của Microsoft , sự lây nhiễm Samas bắt đầu khi kẻ tấn công phát hiện được máy chủ đang chứa lỗ hổng an ninh . FBI cho biết hầu hết những trường hợp là máy chủ đang dùng JBOSS quá đát , nhưng Microsoft nói rằng tin tặc đã dùng lỗ hổng trong những ứng dụng Java bởi vì sử dụng JNI ( Java Native Interface ) không an toàn .
Sau khi xâm nhập thành công , tin tặc đã dùng công cụ nguồn mở có tên reGeorg để quét và lập bản đồ những mạng nội bộ . Sau đó triển khai Derusbi (Bladabindi) RAT lên máy chủ bị lây nhiễm . Trojan này thu thập thông tin đăng nhập của người dùng mạng , rồi dùng một công cụ có tên psexec.exe và một loạt những Script . Cuối cùng chúng sẽ tải mã độc đòi tiền chuộc Samas tới những PC trong mạng nội bộ .
Phần mở rộng “encrypted.RSA” được theme vào phía cuối của mỗi file bị lây nhiễm , và đưa ra thông báo đòi tiền chuộc , để trong mỗi thư mục những file dữ liệu đã bị khóa .
Samas đòi 1 Bitcoin ( gần 400$ ) cho mỗi PC bị nhiễm độc và yêu cầu thanh toán qua một trang web được Host trên Tor .
Microsoft lưu ý trong giai đoạn đầu tiên , tin tặc đã dùng WordPress.com để quản lí thanh toán tiền chuộc , nhưng sau đó quyết định đưa dịch vụ Host trên Dark Web để tránh bị cơ quan pháp luật phát hiện .