Експерти ThreatDown виявили шкідливу програму Prinz Eugen, яка першочергово шифрує нещодавно змінені файли, щоб максимально паралізувати роботу жертви. Зловмисники отримують доступ до систем через викрадені паролі віддаленого робочого стола, після чого вручну запускають вірус servertool.exe. Для закріплення в мережі хакери використовують легітимні інструменти віддаленого моніторингу та управління.

Вірус написаний на мові Go і використовує алгоритм ChaCha20-Poly1305. На відміну від інших груп, Prinz Eugen не залишає записок із вимогою викупу на комп’ютері, переносячи спілкування в емейли чи даркнет, щоб уникнути виявлення захисними системами. Наразі підтверджено атаку на п’ять організацій, включаючи Standard Bank, де хакери вимагали 1 біткоїн, але отримали відмову.