O wykryciu "szkodnika" poinformowali eksperci ze specjalizującej się w bezpieczeństwie informatycznym firmy Sunbelt Software Distribution. Z ich analiz wynika, że trojan dystrybuowany jest głównie za pośrednictwem serwisów pornograficznych - po zainfekowaniu komputera wyświetla on pełnoekranowy komunikat, informujący użytkownika (w j. angielskim), że "surfowanie po stronach dla dorosłych jest niebezpieczne i naraża twój komputer na infekcję złośliwym oprogramowaniem". Trojan informuje również, że w systemie wygasła licencja na oprogramowanie zabezpieczające i niezbędne jest wykupienie nowej - dopóki nie zostanie to zrobione, z komputera nie da się korzystać.

Uiszczenie płatności odbywa się poprzez zadzwonienie na numer o podwyższonej płatności (w USA są to numery o prefiksie 900) - koszt takiego telefonu do 30 USD. Jeśli z jakiegoś powodu użytkownik nie może dodzwonić się na ów numer, proponowane mu są dwa kolejne - jeden zarejestrowany w Kamerunie oraz jeden przypisany do sieci telefonii satelitarnej (są one przeznaczone dla ofiar trojana mieszkających poza USA).

Przedstawiciele Sunbelt Software Distribution przyznają, że trojan napisany jest na tyle dobrze, że większość użytkowników nie poradzi sobie z przywróceniem sprawności systemu bez zapłacenia. Z dochodzenia przeprowadzonego przez firmę wynika, że ów numer o podwyższonej płatności należy do firmy Global Voice - zarejestrowanej na Seszelach i specjalizującej się w oferowaniu w Internecie odpłatnych treści pornograficznych. Jej przedstawiciele na razie nie komentują tych informacji.

Warto przypomnieć, że szkodniki takie jak Delf.ctk pojawiają się ostatnio coraz częściej. Specjaliści ds. bezpieczeństwa zwykli określać je mianem 'ransomware' (ransom to po angielsku okup). Ostatnio z podobnym przypadkiem mieliśmy do czynienia w lipcu 2007 r. - wtedy to w Sieci pojawił się prosty trojan o nazwie GpCode (pisaliśmy o nim w tekście "Powrót trojana-szantażysty"). Po zainfekowaniu systemu Windows GpCode szyfrował wybrane pliki i informował użytkownika, że ich odszyfrowanie nastąpi dopiero po zapłaceniu sowitego okupu (z reguły jego wysokość ustalano na 300 USD). Wtedy firmy antywirusowe dość szybko poradziły sobie z zagrożeniem - produkty większości z nich potrafią już nie tylko wykrywać i usuwać GpCode z systemu, ale także odszyfrować zablokowane przez niego pliki.