RAA ransomware otkriven u lipnju ove godine sada je napredovao i napada veće poslovne korisnike, uglavnom koristeći spear phishing metode. Ovaj ransomware, osim ciljane tvrtke, može utjecati i na njihove klijente i poslovne partnere. Prema istraživanju tvrtke Kaspersky Lab, nova varijanta ovog zloćudnog softvera naziva se Trojan-Ransom.JS.RaaCrypt.ag i dolazi s nekoliko novih mogućnosti. Šalje se u zip datoteci koja je zaštićena lozinkom i može izvoditi izvanmrežnu enkripciju bez da traži ključ od upravljačkog poslužitelja. Prethodna verzija ransomwarea bila je kodirana u Javascriptu, RAA #2 kodiran je u sličnom JScriptu. U poruci elektroničke pošte koju poslovni korisnici dobivaju jasno je da je namijenjen isključivo njima, s porukom koja bi mogla obmanuti korisnika da pomisli kako se radi o računu koji nije podmiren. U poruci stoji da je potrebno unijeti lozinku “111” kako bi otvorili dokument u privitku. Ciljane skupine korisnika za sada su uglavnom bile zemlje iz ruskog govornog područja. Nakon što je instaliran, RAA #2 radi slično kao i prethodna verzija, korisnik otvara RTF dokument koji se prikazuje kao Microsoft Word dokument kako bi skrenuo pozornost korisnicima dok se njihove datoteke kriptiraju. Međutim, način kriptiranja je drugačiji nego kod prethodne verzije jer nova verzija generira vlastiti ključ za enkripciju na klijentskom računalu, umjesto da čeka na ključ od C&C servera. Koristeći ukradene podatke, cyber kriminalci mogu ostvariti pristup žrtvinom klijentu za čitanje elektroničke pošte i ostalim resursima. Pretpostavlja se da vlasnici RAA ransomwarea koriste te resurse za slanje poruka elektroničke pošte na adrese iz kontakt liste kojoj su ostvarili pristup.