Die Malware gaukelt die Installation eines Windows-Updates vor und zeigt den üblichen Update-Bildschirm an. Gleichzeitig verschlüsselt sie im Hintergrund alle Dateien auf dem Rechner des Opfers. Die Verschlüsselungslösung der Erpresser basiert auf dem Forschungsprojekt Eda2.
