Tin tặc phát triển mối đe dọa này không chỉ mã hóa dữ liệu nạn nhân mà còn quan tâm tới việc đánh cắp dữ liệu khi tạo ra tài khoản “cửa sau” trên thiết bị đã bị nhiễm độc .

Michael Gillespie đã phát hiện ra mối đe dọa trên và đã bẻ khóa được tại Bleeping Computer , tuy nhiên mã độc đòi tiền chuộc này mới đang trong giai đoạn phát triển và dự kiến trong thời gian tới sẽ có một chiến dịch phát tán lớn .

Tin tặc hiện đang phát tán mã độc đòi tiền chuộc này qua file PokemonGo.exe với biểu tượng trông rất giống Pikachu . Khi bấm vào file .EXE này sẽ bắt đầu quá trình mã hóa . Các chuyên gia an ninh nói rằng mã độc này dựa trên dự án Hidden Tear , là loại mã độc đòi tiền chuộc nguồn mở phát hành năm ngoái và có chứa “cửa sau” mã hóa .

Sau khi mã hóa dữ liệu của nạn nhân , mã độc này sẽ thêm từ khóa trong Registry và tạo ra tài khoản Admin ẩn có tên gọi “Hack3r” . Để bảo đảm PC có thể khởi động lại được , mã độc này tự sao chép tới Root của tất cả những ổ cứng và thêm tính năng tự động chạy để tự khởi động .

Nó cũng tìm kiếm những ổ có thể tháo gỡ , và tạo bản sao lên đó và cũng thêm file tự động chạy để tự động thực thi khi người dùng  cắm ổ đĩa này tới PC khác .

Theo các nhà nghiên cứu mã độc trên mới là phiên bản thử nghiệm bởi vì hệ thống  mã hóa dùng khóa mã cố định \"123vivalalgerie\" và cũng thử kết nối tới máy chủ CnC tại địa chỉ IP 10.25.0.169 . Tại thời điểm này màn hình đòi tiền chuộc mới hiển thị bằng tiếng Ả rập và nạn nhân không cần phải trả tiền chuộc mà liên hệ với Bleeping Computer hoặc Michael Gillespie để nhận được công cụ giải mã miễn phí .