Ransomware này đặt tên chuỗi “DecryptorMax” trong nhiều chỗ bên trong mã nguồn của mình . Nõ thêm từ khóa CryptInfinite vào Registry của Windows , dùng nó để lưu trữ danh sách tất cả những file mã hóa và vị trí của nó trên đĩa .
Theo Bleeping Computer , Ransomware này phát tán qua tài liệu Word độc hại từ những thư rác . Việc lây nhiễm xảy ra khi người dùng mở file tài liệu Word này và cho phép Word Macro hoạt động . Macro là cách mà tin tặc hay sử dụng để phát tán mã độc tới Windows .
Sau đó Ransomware được cài đặt và ngay lập tức bắt đầu mã hóa những file dữ liệu , thêm vào đuôi mở rộng bằng chuỗi kí tự .CRINF tới tất cả những file bị mã hóa .
Sau đó nó để lại mỗi thư mục bị mã hóa có file thông báo yêu cầu người dùng trong 24 giờ phải trả tiền qua PayPal , gửi mã tới một trong ba địa chỉ silasw9pa@yahoo.co.uk, decryptor171@mail2tor.com, decryptor171@scramble.io .
Thêm vào đó Ransomware thay đổi màn hình nền của Desktop bằng thông báo của nó , sau đó xóa tất cả những bản sao Shadow Volume , và vô hiệu hóa Windows Startup Repair do đó người dùng không thể tải được những bản sao trước kia .
Công cụ của Wosar , DecryptInfinite , rất dễ dùng và cho phép những nạn nhân để giải mã file dữ liệu của mình mà không cần phải trả tiền chuộc .
Những chi tiết về cách dùng DecryptInfinite có mặt trên diễn đàn của Bleeping Computer .