Distribuția malware-ului este realizată prin intermediul e-mail-urilor spam care au anexe ce conțin un executabil infectat. Când fișierul este deschis, executabilul este lansat. În acest moment, troianul decide cu ce va infecta PC-ul victimei. Malware-ul verifică existența unui director “%AppData%\Bitcoin”, care ar putea indica existența unui portofel de Bitcoin. Potrivit cercetătorilor Kaspersky Lab, acest lucru duce la presupunerea că victimele vor plăti pentru a-și recupera fișierele, prin urmare troianul le criptează, ceea ce – teoretic – îi garantează atacatorului un profit rapid. În celălalt scenariu, infractorii vor încerca să „câștige” bani de la victimă, fără ca aceasta să observe, instalând un program de mining – cu condiția ca PC-ul să aibă o capacitate suficientă pentru astfel de acțiuni, care consumă numeroase resurse.
Este interesant de remarcat că troianul poate și să ignore cu desăvârșire dispozitivul infectat și să nu mai instaleze nici un criptor, nici un program de mining. Victima nu scapă, însă, nevătămată, pentru că va fi lansată funcționalitatea de „vierme” de rețea – de exemplu, troianul va încerca să distribuie copii tuturor computerelor disponibile în rețeaua locală a victimei.
„Faptul că malware-ul poate decide cum să infecteze victimele, este încă un exemplu că infractorii cibernetici încearcă să profite la maximum: fie direct, șantajându-le pentru a obține bani (programul de criptare), prin utilizarea neautorizată a resurselor (programul de mining), fie extinzând lanțul de distribuție a malware-ului, cu viermele de rețea”, spune Orkhan Mamedov, Malware Analyst, Kaspersky Lab.