Einige der Versionen enthielten eine Lösegeldforderung, in der die Gruppe als Funksec identifiziert wurde. Zusätzlich gab es auch eine alternative Lösegeldforderung, in der der Angriff einer Gruppe namens Ghost Algeria zugeschrieben wurde. Der Autor hat außerdem die Kompilierungsvariablen nicht entfernt, wodurch ein Pfad namens C:\Users\Abdellah\ im Quellcode sichtbar wurde.
Das Ransomware-Programm versucht, mithilfe bekannter Techniken für PowerShell-Skripte erweiterte Berechtigungen zu erlangen. Anschließend wird der Echtzeitschutzdienst von Windows Defender deaktiviert, die Sicherheitsereignisprotokollierung auf dem System und die Anwendungsprotokollierung entfernen Einschränkungen für die Ausführung von PowerShell und löschen schließlich die Kopien, um eine Systemwiederherstellung zu verhindern.
Im Nachgang versucht das Malware-Programm, eine lange Liste von Prozessen zu beenden, die mit einer Vielzahl von Programmen verbunden sind, darunter Browser, Videoplayer, Messaging-Anwendungen und Windows-Dienste. Dadurch wird sichergestellt, dass der Zugriff auf potenziell wichtige Dateien, die anschließend verschlüsselt werden, nicht durch diese Anwendungen gesperrt wird.
