Chuyên gia an ninh Jack , tại blog MalwareForMe , lần đầu tiên phát hiện ra mã độc này hôm 24/5 . Ba ngày sau Microsoft đã đưa ra cảnh báo về làn sóng lây nhiễm mới này “ Chúng tôi cảnh báo cho những người dùng Windows về kiểu mã độc đòi tiền chuộc mới này có cách thức hoạt động như “sâu” . Nó có khả năng tự động lây lan vào những ổ đĩa mạng và những ổ đĩa có thể tháo lắp “.

Microsoft cho biết tin tặc dùng những bộ cài đặt giả mạo , thông thường là Adobe Flash , cùng với những tài liệu Office có chứa Macro độc hại để phát tán mã độc đòi tiền chuộc ZCryptor .

Ngay sau khi cài đặt bản cập nhật Adobe Flash giả mạo hoặc cho phép mở file Office có kèm theo Macro thì ZCryptor sẽ cài đặt lên máy tính của nạn nhân .

ZCryptor sẽ thêm một từ khóa vào Registry để hoạt động cả khi PC được khởi động lại , sau đó bắt đầu mã hóa file . Nó nhắm tới 88 kiểu file khác nhau để mã hóa . Tuy nhiên theo phân tích của MalwareHunterTeam thì mã độc này nhắm tới 121 kiểu file do đó có vẻ như tin tặc đứng sau ZCryptor vẫn đang phát triển mà tiếp tục đưa thêm mã mới .

Microsoft khẳng định ZCryptor có cách thức hành xử như “sâu” có nghĩa là nó có thể tự lây lan vào những mục tiêu ở gần . Và ZCryptor được các chuyên gia nhận định là loại mã độc đòi tiền chuộc đầu tiên có cách thức hoạt động như vậy .

Theo phân tích của  Trend Micro, họ cũng đồng ý với kết quả mà Microsoft tìm ra đó là tính năng tự lây lan như “sâu” .

Trước kia , mã độc đòi tiền chuộc Alpha Ransomware có khả năng tìm kiếm sau đó mới mã hóa những file trên những thư mục được chia xẻ , nhưng không có khả năng tự lây lan tới những ổ đĩa khác .

ZCryptor thêm những file mở rộng có đuôi là .zcrypt tới những file đã bị mã hóa .