Imagine la escena. Mientras visita alguna página web, ésta utiliza un fallo de Microsoft Internet Explorer (reparado hace casi un año) para instalarle un troyano denominado Trojan.Pgpcoder.

Su forma de actuar es una novedad: busca en todo el disco duro de la víctima 15 extensiones de fichero predefinidas (incluidos los ficheros de Microsoft Office), cifra los ficheros que encuentra, borra los originales y exige a la víctima 200 dólares a cambio de la herramienta que permite descifrarlos...

La dinámica detallada del ataque es como sigue:

Inicialmente, el sitio malicioso descarga y ejecuta un troyano (downloader-aag) en la máquina de la víctima. Este troyano se conecta a otra página web, desde la que descarga una aplicación de cifrado, la renombra y la ejecuta.
  El programa malicioso de cifrado añade elementos al registro de Windows en:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  Busca ficheros de texto en cualquier unidad de almacenamiento del ordenador víctima y los reemplaza por texto ilegible.
  Crea un fichero llamado autosav.ini donde guarda información sobre los ficheros que han sido cifrados.
  Crea un fichero tmp.bat en el directorio donde se ejecutó, para borrarse a sí mismo.
  Crea un fichero denominado Attention!!! que contiene las instrucciones para recuperar los ficheros, previo pago de 200 dólares a través de una cuenta en e-gold.com u otros.
  Envía un aviso al servidor desde donde se descargó.

Fuente: http://www.kriptopolis.org/node/707