Die verbreiteten Massen-Mails sind auf Deutsch verfasst, nennen im Betreff den Namen des Anwenders und unterschiedliche Vertragsnummern oder Auftragsbestätigungen. Die E-Mail enthält eine ZIP-Datei mit dem Namen Abrechnung oder Rechnung. Sobald der Nutzer die Datei gestartet hat, werden sämtliche Dateien verschlüsselt.
Die in der Mail enthaltene Malware Trojan.Matsnu.1 stellt eine ernsthafte Gefahr dar. Beim Doctor Web Support trafen allein bis zum 28.4.2012 über 50 Support-Anfragen aus Deutschland ein.
Die Sicherheitsspezialisten von Doctor Web konnten Trojan.Matsnu.1 in kürzester Zeit analysieren und ein Tool entwickeln, das verschlüsselte Benutzerdateien entschlüsseln soll. Dieses Tool können User unter ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe herunterladen. Sollten sie ihre Dateien selbständig nicht entschlüsseln können oder der Vorgang mit einem Fehler abgebrochen werden, können Anwender das Virenlabor von Doctor Web kontaktieren, indem sie ein Thema in der Kategorie "Desinfektion" anlegen. Dieser Service ist für alle Anwender kostenfrei.