A zsarolóvírus maga csak egy lecsupaszított program, amely csak a zsaroláshoz szükséges titkosítás végrehajtására képes. A további feladatokat PowerShell-parancsok látják el, amelyek felkészítik a gépet a végső titkosításra. Ezeket a PowerShell-szkripteket úgy programozták, hogy módosítsák a tűzfalszabályokat, hogy lehetővé tegyék a támadók távoli kapcsolatait, letiltsák azokat a folyamatokat, amelyek megakadályozhatják a titkosítást, töröljék a biztonsági másolatok készítést, hogy megakadályozzák a titkosított fájlok helyreállítását, töröljék eseménynaplót és hogy magasabb szintű hozzáférést szerezzenek a támadok - írja közleményében a Sophos.
Szappanos Gábor, a Sophos kiberbiztonsági szakértője szerint az Epsilon Red egy érdekes változat, mert valójában csak fájlok titkosítására használják, és nem célozza meg pontosan az eszközöket. "Ha úgy dönt, hogy egy mappát titkosít, akkor mindent titkosít a mappában. Sajnos ez azt jelentheti, hogy más futtatható fájlokat és a program komponenseket is titkosít, ami letilthatja a kulcsfontosságú programokat vagy az egész rendszert. Ennek eredményeként a megtámadott gépet teljesen újra kell telepíteni” - ismertette a szakértő.
A Sophos elemzése a támadók viselkedéséről azt sugallja, hogy azok nem biztosak az eszközeik megbízhatóságában vagy a támadásuk potenciális sikerében, ezért alternatív lehetőségekre ias felkészülnek. Még a védekezés sem lehetetlen: érdemes telepíteni a szerverekre minden biztonsági javítást, valamint ellenőrizni hogy a biztonsági megoldás képes felismerni és blokkolni a gyanús viselkedéseket és a fájlok titkosítási kísérleteit.
A legtöbb zsarolóvírust egyébként az óvatlan dolgozók telepítik a hálózatokra.