Der neue Schädling verhält sich eigentlich wie die meisten anderen Ransomware-Programme, hat aber zusätzlich die besonders üble Fähigkeit, sich selbst auch auf eingesteckte USB-Laufwerke und -Sticks zu kopieren.
ZCryptor klinkt sich in die Autostart-Datei der Laufwerke ein und verbreitet sich auf diese Weise wie ein Wurm von Rechner zu Rechner. Die Ransomware fängt man sich auch über Phishing-Mails und angehängte Office-Dokumente oder gefälschte Installationsprogramme von Adobes Flash ein. Das eigentliche Schadprogramm heißt zcrypt.exe. Es versteckt sich allerdings durch entsprechende Dateiattribute, so daß der Benutzer sie nicht mit dem Dateibrowser finden kann.
ZCryptor verschlüsselt Dateien mit über 80 verschiedenen Endungen und benennt sie danach in .zcrypt um. Zurzeit ist noch keine Möglichkeit bekannt, diese Daten nach der Verschlüsselung zu retten – Vorsichtsmaßnahmen wie beispielsweise eine gute Sicherungs-Strategie sind also dringend empfohlen.