По данным экспертов, с конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Установлено, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google - это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.
Для масштабного заражения злоумышленники использовали так называемую "темную поисковую оптимизацию", с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.
После заражения Nymaim блокирует работу компьютера, требуя заплатить за разблокировку "выкуп", стоимость которого составляет от 100 евро до 150 долларов. Заражению могут подвергнуться пользователи из самых разных стран.
Ранее троянец распространялся при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода. Однако, по мнению экспертов, после того как автор BlackHole был арестован в России, злоумышленники стали использовать новый способ заражения пользователей.