Die anhängende Datei ist vom Typ .CHM, also vom Format her eine Windows-Hilfedatei, die selbst verschiedene Dateien enthalten kann. Mit einem Doppelklick kann eine CHM-Datei JavaScript, VBScript oder ein PowerShell-Script ausführen. Weil das außerhalb eines Browsers läuft, greifen wesentliche Sicherheitsvorkehrungen für die Scripts in CHM-Dateien nicht, was auch die Beliebtheit dieses Formats bei Malware-Autoren erklärt.
Die Schadsoftware beruht wie schon ihr Vorgänger CrypVault schlicht auf Windows-Skriptsprachen. Deshalb ist die Erpressungs-Software auch nur für Nutzer von Windows-Systemen gefährlich.