Những Email này có tiêu đề “Hóa đơn chưa thanh toán” để dụ người dùng mở xem những file này . Tin tặc đã nhúng một đường Link vào thân bức thư để tăng sức thuyết phục . Tất nhiên khi bấm vào đường Link này sẽ chuyển tới để tải file ZIP độc hại khác .

Thủ thuật thứ hai tin tặc sử dụng đó là dùng Double-Zip để che mắt những công cụ bảo vệ vì chugs chỉ xem những file giải nén ở mức đầu tiên . Người dùng  thì có thói quen là giải nén tất cả vì thế tin tặc đã lợi dụng điều đó .

Ngay khi file nén ZIP thứ hai được giải mã , người dùng sẽ thấy file định dạng WSF (Windows Script File) , là loại file đặc biệt chạy tự động JavaScript, JScript hoặc VBScript bên trong ActiveX .

Forcepoint cho biết tin tặc đã dùng những file WSF để tải và cài đặt mã độc đòi tiền chuộc Cerber , lần đầu tiên xuất hiện trong năm nay .

Kể từ khi bị phát hiện , các chuyên gia đã chứng kiến mã độc đòi tiền chuộc này phát tán qua quảng cáo độc hại và những Kit khai thác trên The Pirate Bay , thông qua Kit khai thác khác lọi dụng lỗi Flash Zero-Day CVE-2016-1019 , và mới đây qua những file RTF độc hại .

Bằng những cách phát tán trên , Forcepoint nhận định Cerber được phát tán như là dịch cụ RaaS (Ransomware-as-a-Service) . Đó là cách thức hiện nay tin tặc hay dùng kết hợp với kẻ viết mã độc cùng với nhóm tin tặc có nhiệm vụ phát tán sau đó phân chia lợi nhuận .

Forcepoint tin rằng họ có cách để khôi phục được một phần một số file đã bị Cerber mã hóa .