Sur son blog, McAfee indique qu'il s'agit d'une nouvelle famille de rançongiciels, qui semble se propager rapidement. La plupart des victimes sont recensées aux Etats-Unis, en Belgique, en Allemagne et en France. Tout comme les rançongiciels précédents, Anatova tente de crypter le plus de fichiers possible. Le maliciel agit non seulement sur les ordinateurs infectés, mais tente également de se propager vers des dossiers partagés sur le réseau ciblé. Ensuite, l'utilisateur est invité à payer pour récupérer ses fichiers.

McAfee a découvert des exemples du rançongiciel surtout aux Etats-Unis et en Belgique. © McAfee

McAfee fait observer qu'il semble s'agir d'un logiciel modulaire, qui peut donc s'étendre par la suite. Ses auteurs paraissent aussi avoir prévu des moyens veillant à ce que le malware ne soit pas repéré, ou à tout le moins nettement moins rapidement. C'est ainsi qu'Anatova se désactive de lui-même, s'il remarque qu'un utilisateur se connecte en tant que 'Tester' ou 'Lab'. Il incorpore en effet une mini-liste de noms de login souvent utilisés par des testeurs en sécurité et par des machines virtuelles, et ne fonctionnera donc pas sur ces appareils.

De plus, Anatova examine aussi le langage-système le plus précocement installé et se désactive si nécessaire dans tous les pays de l'ex-Union Soviétique, mais aussi en Syrie, en Egypte, au Maroc, en Irak et en Inde. L'exclusion de pays de l'est de l'Europe est assez fréquente, selon McAfee, et pourrait être un indice que le maliciel a été conçu dans l'un d'eux. Par ailleurs, McAfee ne s'explique pas pourquoi Anatova se bloque également dans quelques autres états.

Autre point étonnant: Anatova ne s'attaque pas aux dossiers Windows et Program Files, parce qu'il ne semble pas intéressé par le système d'exploitation, mais plutôt par les fichiers personnels de l'utilisateur. Il crypte d'abord les fichiers de moins d'1 Mo, pour pouvoir progresser plus rapidement.

Le malware n'a provisoirement été découvert que dans un réseau poste-à-poste privé, où il se présentait comme un jeu ou une application. Lorsqu'un ordinateur est infecté, Anatova exige une rançon en crypto-espèces, plus précisément en 10 DASH, dont la valeur est supérieure à 600 euros après conversion.