Вирус шифрует главную загрузочную запись диска (Master Boot Record — MBR), которая содержит необходимые данные о разделах на диске и код для загрузки операционной системы (Boot Loader). После этого при окончательной загрузке пользователь получает сообщение с требованием выкупа в размере $300 на биткоин-кошелек.
Основной способ заражения компьютеров — это отправка писем по электронной почте с поддельным содержимым. Письмо от хакеров с виду ничем не отличается от типичной деловой переписки — это может быть письмо от соискателя работы, счет на оплату каких-либо услуг, либо же предложения пересмотреть условия договора. В каждом из случаев, пользователю предлагают скачать и запустить на компьютере исполняемый файл, например, с Dropbox.