По словам специалиста ИБ-компании Emisoft Фабиана Восара (Fabian Wosar), ответственность за атаку на CD Projekt лежит на киберпреступной группировке HelloKitty. Группировка активна с ноября прошлого года, и в списке ее жертв числится бразильская электроэнергетическая компания CEMIG. Поскольку вредоносное ПО HelloKitty не особо активно, о нем известно очень мало.

После установки на системе вредонос периодически запускает taskkill.exe для завершения процессов, связанных с решениями безопасности, серверами электронной почты, серверами с базами данных, ПО для резервного копирования и бухгалтерского ПО наподобие QuickBooks. HelloKitty также пытается отключить соответствующие службы Windows. В общей сложности вредонос затрагивает порядка 1,4 тыс. процессов и служб Windows.

Завершив процессы и отключив службы, HelloKitty начинает шифровать файлы, добавляя к имени файла расширение .crypted. В настоящее время бесплатных инструментов для восстановления зашифрованных им данных не существует.

https://www.securitylab.ru/news/516449.php