После попадания на персональный компьютер, вредоносное программное обеспечение шифрует все находящиеся на нем данные. После этого пользователю показывается уведомление о необходимости связаться по указанному телефону с технической поддержкой компании Microsoft для решения возникшей проблемой. Однако вместо официального телефона указан номер мошенника. Как только тот дозванивается якобы в техподдержку, мошенник заявляет, что для разблокировки данных человеку необходимо заплатить 350 долларов. Обычно в таких случаях мошенники требуют плату в биткоинах, но в этом случае для злоумышленников важна не столько плата, сколько получение доступа к банковской карте.
Если человек соглашается на внесение оплаты, то передним сразу же открывается специальная форма для внесения данных платежной карты и прочей информации, необходимой для оплаты онлайн.
Чтобы пользователь ничего не заподозрил, сначала перед ним действительно открывается страница технической поддержки компании Microsoft, но потом мошенники заменяют ее адрес на короткую ссылку страницы для платежей. Как только человек вводит свои данные и информацию по платежной карте, все это моментально попадает в руки злоумышленников, которые потом могут перевести все деньги с банковского счета на свой собственный.