Iil Trojan.Win32.DocEncrypter.A, si presenta in una schermata che richiede una somma di denaro molto alta: 200$ chi risiede in USA o in Canada; 300$ per i residenti degli altri paesi.

Questa tipologia di malware si presente in una schermata che, come le numerose varianti del FakeGDF, blocca lo schermo e gli input da tastiera. Il  malware oltre a rendere il pc non utilizzabile, crea un danno molto grave:

- crypta file di testo ed immagini (.rtf, .txt, .chm, .jpg e altri formati) presenti nel proprio hard disk utilizzando un algoritmo ancora sconosciuto e li rende inutilizzabili; dopo la modifica, tutti i file hanno l'estensione ".block".
Inoltre, per rendere ancora più credibile il fatto, crea un file di testo con il nome "WARNING.TXT" in qualsiasi cartella, dove è riportato il messaggio della schermata soprastante.

- disabilita l'utilizzo del windows key ed alcune voci del menù start, modificando chiavi nel registro di sistema; sarà possibile ripristinare le funzionalità standard del pc utilizzando la funzione di Vir.IT eXplorer (sia Lite che PRO) versione 7.3.4, e accedendo al menù "tools->Ripara IE + impostazioni windows";

- disabilita la modalità provvisoria.

Il testo presente all'interno del file di testo creato dal malware, è come il seguente:

Your identification number: 3551 Your IP address: 151.51.143.252 WARNING! INFORMATION MESSAGE YOUR COMPUTER IS BLOCKED. If you see this text its means that you try to deactivate our programm. If you want unblock your files please contact us via email payandbeunblocked@yahoo.com. All your documents, text files and databases are securely encrypted with AES 256. You can unlock PC and files by paying a fine of 200 USD (USA and Canada) / 300 USD (via Western Union to other Countries) You can select different payment methods: 1. With Moneypak prepaid code in amount of 300 USD. 2. With MoneyGram express prepaid code in amount of 200 USD. 3. With Western Union Transfer in amount of 300 USD. * * if you want to pay with Western union you may do request payment information by email payandbeunblocked@yahoo.com STEP 1: If files are important to you and you are ready to pay then buy prepaid code for the amount of $200 at the nearest store. STEP 2: Choose payment method then enter your code and your valid email address in the fields below.  Then click PAY and you will be prompted to enter the unlock code. OR Send an e-mail at PAYANDBEUNBLOCKED@YAHOO.COM. Indicate your ID in the message title and provide prepaid code. STEP 3: Check your e-mail. In 24 hours we will send your Unlock code once payment is verified. Then enter your unlock code that you received by email from us and click UNLOCK. Your computer will roll back to the ordinary state. WARNING!!!: You have 72 hours for pay. As soon as 72 hours elapse, the possibility to pay the fine expires, and your files will be securely erased with U.S. DoD 5220.22-M(ECE) wipe algorithm. Q: How can I make sure that you can really decipher my files? A: You can send one ciphered file on email PAYANDBEUNBLOCKED@YAHOO.COM (Indicate your ID and IP address in the message title), in the response message you receive the deciphered file. Q: What if I don’t have possibility to purchase prepaid code? A: You can send money in amount of 300 USD by WesternUnion as alternative option. Q: Where can I purchase a MoneyPak? A: MoneyPak can be purchased at thousands of stores nationwide, including major retailers such as Wal-Mart, Walgreens, CVS/pharmacy, Rite Aid, Kmart, Kroger and Meijer. Q: Where can I purchase a MoneyGram? A: MoneyGram can be purchased at thousands of stores nationwide, including major retailers such as Cumberland farms., CVS/pharmacy, Speedway. Q: How do I buy a MoneyPak at the store? A: Pick up a MoneyPak from the Prepaid Product Section or Green Dot display and take it to the register. The cashier will collect your cash and load it onto the MoneyPak.

La TG Soft ricorda che per tutti i clienti della versione PRO che sono stati attaccati da questo tipo di malware, è riservato il servizio di assistenza dedicato dal Lunedi al Venerdì dalle ore 9:00 alle ore 12:30 e dalle 14:30 alle 17:30 per recuperare le funzionalità del computer ma, nostro malgrado, non per recuperare i file criptati dal virus, dato che l'algoritmo non è ancora stato trovato.