Распространение началось в середине мая 2014 года и ознаменовало первую волну такого типа троянов. Распространялся под видом судебных исков и тому подобного во вложениях в электронной почте. Вложение представляло собой Java-Script-файл, который скачивал остальные компоненты трояна и запускал их. Также была зафиксирована рассылка от имени антивирусных компаний.
Несмотря на то, что является BAT-файлом, имеет довольно сложный функционал за счет наличия компонентов в виде исполняемых файлов.
При запуске создает уникальный ключ GPG (так называемый машинный ключ), которым шифруются файлы при помощи GPG. Приватная часть машинного ключа шифруется публичной частью мастер-ключа и сохраняется в файле private.key. Если описание криптографии этого трояна для вас непонятно — почитайте про асимметричную криптографию.
Кроме того, троян при помощи специальных программ собирает на пораженной машине адреса email и рассылает себя по ним.
Существует несколько разновидностей трояна, которые отличаются добавочным расширением и используемыми мастер-ключами.
17.07.2014 некто, выдающий себя за автора трояна, опубликовал на форумах антивирусных компаний приватные части трех мастер-ключей (правда, без passphrase). Очень странный поступок, но он позволил сильно продвинуться с расшифровкой.