5К соответственно. Процес зарожения как я понял следующий. Сам исполняемый файл вовсе не вирус. При запуске он себя копирует в отдельную папку c:\programdata\windows первый этап червя выполнен, запускается этот скопированный файл и начинает подключаться по TCP протоколу на адреса откуда скачивается сам шифровчик файлов, далее пробегается по спискам жестких дисков в системе по средствам WinAPI, после чего получает списки файлов все по той же системе WinAPI за исключением системных, и далее начинает шифровать их. Шифрует сначала оригенал файла, добавляя в него часть какого то своего кода в размере примерно 100 байт, после чего создается копия этого файла уже шифрованного и далее удаляется оригенал. Как то так. По окончанию своей цели сам шифровчик себя удаляет. Не известно пока как генерируется ключ и где именно, удаленно или сразу на пк
