Utilizatorii sunt infectati initial cu ocazia vizitarii unui site web special modificat, care exploateaza o vulnerabilitate din Microsoft Internet Explorer . Aceasta vulnerabilitate permite rularea unor aplicatii fara a fi necesara vreo actiune din partea utilizatorilor.

Site-ul web foloseste Windows help si un fisier CHM pentru a descarca un troian. Apoi aplicatia se conecteaza prin HTTP la un alt site web, special conceput de atacatori, care gazduieste programul de codare a fisierelor de pe HDD-ul statiei contaminate si de pe cele mapate in retea. Dupa cautarea tuturor fisierelor text, continutul acestora este codat si devine inutilizabil. Aplicatia lasa si un mesaj pe sistem cu instructiuni privind cumpararea utilitarului necesar pentru decodarea fisierelor, printre care adresa e-mail de la care se pot solicita informatii suplimentare si contul E-Gold unde pot fi transferati banii.

Un alt tip de atac consta in compromiterea adreselor mail ale utilizatorilor. Utilizatorii care acceseaza conturile web mail (Hotmail spre exemplu) dupa un atac descopera ca toate mesajele mail si contactele au fost sterse. Singurul mesaj care poate fi accesat este cererea de plata in cazul in care utilizatorul mai are nevoie de mesajele si contactele respective. Mesajul este scris in spaniola si are semnificatia: "Daca doresti sa afli unde se afla contactele si mesajele email, achita suma, iar daca preferi sa pierzi toate informatiile, nu ne contacta prea curand".