A zsarolóvírust az Apple saját programozási nyelvén, Swiftben írták. BitTorrent-kliensen keresztül terjed torrentfájlként. A kártevő népszerű szoftverek feltörésére szolgáló alkalmazásnak adja ki magát, és egy .zip-be tömörített programcsomagot tartalmaz.
Az ESET szakemberei kétféle hamis feltörő programot is észleltek: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörésével kecsegtet, valójában mindkettő kártevőt rejt és zárolja a fájlokat.
Az alkalmazás szemlátomást gyenge programozói munka, állítják a biztonsági szakemberek, ugyanis kezdetleges hibákat tartalmaz. Például a megjelenő ablak háttere zavaróan áttetsző, és a bezárása után már nem lehet újra megnyitni.
A program egy NULL.prova fejlesztői azonosítóval rendelkezik, amelyet nem az Apple bocsátott ki. A startgombra kattintva a zsarolóvírus elkezdi felmérni a könyvtárakat, majd titkosítja a fájlokat. A program egy "README!.txt" elnevezésű fájlt másol a felhasználó könyvtárába. Ez tartalmazza az utasításokat, a bitcoin- és az e-mail cím minden áldozatnál ugyanaz.
Egyelőre a megadott bitcointárcában nem történt semmiféle tranzakció, ami azt jelenti, hogy
a zsarolóvírus készítője még semmit sem keresett vele.
Akad azonban egy nagy probléma ezzel a zsarolóvírussal: ha valaki esetleg úgy döntene, hogy fizetne a fájljai feloldásáért, a kért összeg elutalása után sem adja át a feloldókulcsot, és nem kapjuk vissza dokumentumainkat.
Többek között ezért is ajánlja az ESET, hogy
soha ne fizessünk, ha zsarolóvírus áldozataivá válunk.
A kalózszoftverek használata egyébként is nagy kockázatot rejt magában, a szakemberek azt tanácsolják, ne töltsünk le ilyen programokat, illetve a legfontosabb adatokról rendszeresen készítsünk biztonsági mentéseket – ezt a gépről leválasztva, offline tároljuk külső tárolón.