Как пояснили эксперты, чаще всего вирус прячется в спам-письмах, где присутствуют WSF-вложения, маскирующиеся под судовой приказ. На первый взгляд кажется, что встроенный JScript извлекает обычные изображения и картинки, однако именно в них прячется вредонос.
Все компоненты трояна SyncCrypt прячутся в ZIP-файлах, после этого начинается их извлечение под видом файлов sync.exe, и readme.png и readme.html. Представители компании BleepingComputer отметили, что из-за файла WSF операционная система Windows выполняет незапланированное задание – Sync.
После выполнения файла sync.exe он без промедлений начинает сканировать ПК или ноутбук. Найденные на устройстве файлы шифруются с помощью AES-шифрования с применением расширения .kk. Есть папки, которые троян игнорирует, однако жертвой все равно может оказаться любой пользователей. На данный момент вирус требует от людей, чьи компьютеры были взломаны 430 долларов.