Trojan ładujący został wprowadzony do bazy wirusów Dr.Web jako Trojan.DownLoad3.35539. Przestępcy rozpowszechniają go jako załącznik (archiwum ZIP) do masowo wysyłanych wiadomości typu spam. Analitycy bezpieczeństwa Doctor Web wykryli, że wiadomości tego typu są wysyłane w wielu językach, włączając angielski, niemiecki, a nawet gruziński.
Archiwum zawiera plik SCR – domyślnie rozszerzenie.scr jest używane przez wygaszacze ekranu w systemie Windows. Są to pliki wykonywalne. Jeśli zarchiwizowany plik zostanie uruchomiony, Trojan.DownLoad3.35539 rozpakuje dokument RTF z macierzystego archiwum, zapisze go na dysku i wyświetli na ekranie.
W tym samym czasie Trojan.DownLoad3.35539 zestawia połączenie z jednym ze zdalnych serwerów zarządzanych przez atakujących, pobiera archiwum zawierające Trojana szyfrującego (i jednocześnie żądającego okupu za rozszyfrowanie plików) – Trojan.Encoder.686 (znanego też jako CTB-Locker), a następnie rozpakowuje go i uruchamia. W następstwie pomyślnej instalacji na maszynie ofiary Trojan.Encoder.686 szyfruje pliki i wyświetla następującą wiadomość na ekranie komputera:
Warto zaznaczyć, że atakujący dają swoim ofiarom tylko 96 godzin na zapłacenie okupu wymaganego do odzyskania plików i grożą, że nie spełnienie ich żądań będzie skutkować trwałą utratą danych. Aby uzyskać informacje o zasadach i kwocie okupu użytkownicy są kierowani na stronę rezydującą w sieci TOR.
Trojan.Encoder.686 został skompilowany z użyciem bibliotek TOR i OpenSSL i mocno bazuje na swoich procedurach szyfrujących. Podczas szyfrowania danych ransomware wykorzystuje CryptoAPI do wygenerowania danych losowych jak i mechanizmy kryptografii krzywych eliptycznych (Elliptic Curve Cryptography – ECC), które na chwilę obecną powodują, że odzyskanie zaatakowanych w ten sposób danych jest niemożliwe.