该恶意软件通常是以打包形式出现的，但并不总是如此。研究人员已经发现.exe格式以及DLL的变体。

该恶意软件会尝试在HKEY_LOCAL_MACHINE的root密钥中创建这个新的值项。如果无法创建，例如，因为用户没有管理员权限，它就会将值项放在root密钥HKEY_CURRENT_USER中。文件加密后，在某些攻击中此值项就会被删除。

目前该恶意程序的常用攻击方式主要有安全性较弱或在地下论坛中购买的远程桌面连接；带有链接或附件的网络钓鱼电子邮件；下载并启动恶意软件的木马程序里包含的合法程序；利用RigEK和其他诸如FalloutEK之类的漏洞利用工具包；利用PowerShell脚本或PowerShell进程的内存和Phorpiex类似的僵尸网络等。

针对该恶意程序所造成的危害，建议用户安装安全防护软件，并将病毒库升级至最新版本。同时，从官方网站下载软件，以防止受到该恶意程序的影响，造成严重的损失。

联系方式： 
国家计算机病毒应急处理中心 
计算机病毒防治产品检验中心