资安业者卡巴斯基揭露而对于执行Windows 7以上版本的电脑,该恶意程式便会利用作业系统内建的公用程式Diskpart,将本机磁碟所有的非启动磁区缩小100 MB,然后运用这些空间建立新的主要磁区,成功后利用另外一个公用程式bcdboot,并于新磁区部署启动档案,窜改电脑的机码,调整BitLocker、TPM相关配置。
完成上述工作后,该勒索软体便会启动BitLocker磁碟加密服务(BDESVC),窜改磁碟机标签留下电子邮件信箱,以便受害者能向他们联系。