這個病毒感染途徑是透過spam
並引誘用戶開啟附件的方式
目前暫時只感染俄羅斯地區的用戶
似乎也會針對俄語系統進行感染
但我不確定有沒有非俄國地區的俄語windows用戶遭到感染

而這個javascript並不是透過瀏覽器感染系統
因為windows本身自帶一個
叫做windows script host的服務
透過自帶的shell command(cmd.exe)
就可以調用它來執行javascript
然後呼叫CryptoJS，這也是自帶的一個javascript子集
並做aes-256的加密，目前不太可能被反解

執行一個純downloader
真正恐怖的應該都是下一次reboot後才開始

而根據這樣的行為
一般的hips都可以阻止不正常調用行為
其中它會加載啟動項目

在這個部分可以透過windows acl權限做控制
利用區分用戶權限的方式
讓受限用戶失去regedit.exe的寫入權限
所以，理論上這方法能防止很多downloader
而不限於這個javascript勒索

另..
如果假設純粹利用網頁瀏覽器
除了ie6外，你至少需要一個瀏覽器漏洞
因為ie, chrome, firefox, sarfari, opera幾乎任何你已知的瀏覽器
都有javascript sandbox
提醒一下，這個sandbox跟plugin的是各自獨立的
所以javascript很難穿出sandbox去寫入到系統

或許我接下來可以找看看有沒有禁止調用windows script host
或者禁用自帶CryptoJS library的方法..
因為這東西對99%以上的end user是沒用的東西