Как правило,
перед заражением на электронную почту пользователя приходит письмо с
неизвестного адреса с приложенным архивом (*.rar, *.zip, *.cab),
документом со встроенными макросами (*.doc, *.docx), либо скриптом
(*.js). В теме письма говорится о чем-то важном – о задолженности,
взыскании долга и пр. В архив может быть вложено два файла, например,
«порядок работы с просроченной задолженностью.doc» и «постановление
суда.exe».

После

запуска вирус начинает шифрование в фоновом режиме, втайне от
пользователя. Вирус шифрует файлы различных форматов, например *.doc,
*.jpg, *.pdf и файлы базы данных 1С, добавляя произвольное расширение.

процесс шифрования завершен, на экране устройства появляется окно с
требованием вымогателей, а вирус в некоторых случаях бесследно удаляется
с компьютера.

• 
  Убедитесь,
  что на ваших компьютерах включены настройки автоматических обновлений
  операционной системы и установлены все критические обновления.
  
• 
  
  Злоумышленники могут использовать уязвимость в протоколе удаленного
  рабочего стола (RDP). Наиболее серьезная из этих уязвимостей позволяет
  осуществить удаленное выполнение кода, если злоумышленник отправляет
  уязвимой системе последовательность специально созданных пакетов RDP. По
  умолчанию протокол удаленного рабочего стола отключен во всех
  операционных системах Microsoft Windows. Системы, на которых не включен
  RDP, не подвержены данной уязвимости. Мы рекомендуем закрыть доступ по
  RDP извне и разрешить подключения по RDP только в пределах локальной
  сети.
  
• 
  Используйте
  антивирусные решения со встроенным модулем файервола (ESET Endpoint
  Security), чтобы снизить вероятность использования злоумышленником
  уязвимости в RDP даже в отсутствие обновлений операционной системы.
  
• 
  Запретите
  прием и передачу исполняемых файлов *.exe и *.js на почтовом сервере.
  Зачастую шифраторы рассылаются злоумышленниками в виде вложения в email
  «от арбитражного суда о взыскании задолженности» и другим подобным
  содержанием, побуждающим открыть вложенный файл и тем самым запустить
  шифратор.
  
• 
  Запретите
  выполнение макросов во всех приложениях, входящих в состав Microsoft
  Office, либо в аналогичном ПО сторонних производителей. Макросы могут
  содержать команду для загрузки и выполнения вредоносного кода, которая
  запускается при обычном просмотре документа. Например, открытие файла
  «Уведомление о взыскании задолженности.doc» из письма злоумышленников
  может привести к заражению системы даже в том случае, если сервер не
  пропустил вредоносное вложение с исполняемым файлом, - в том случае,
  если вы не отключили выполнение макросов.
  
• 
  Регулярно
  осуществляйте резервное копирование важной информации, хранящейся на
  вашем компьютере. Начиная с Windows Vista в состав операционных систем
  Microsoft входит служба защиты системы на всех дисках, которая создает
  резервные копии файлов и папок во время архивации или создания точки
  восстановления системы. По умолчанию эта служба включена только для
  системного раздела. Рекомендуется включить данную функцию для всех
  разделов.