Mail se tváří, že je odeslán z adresy update-at-microsoft.com a imituje svou grafikou skutečné e-maily Microsoftu. Varováním může být několik chyb v textu (především jde o použití nekompatibilních fontů), ale jinak je e-mail na první pohled je věrohodný: obsahuje dokonce autenticky vypadající informaci, že obsah byl zkontrolován antivirovým programem.

Zpráva je ve skutečnosti odeslána ze serveru kdesi v Thajsku a přiložený ZIP soubor obsahuje malware, který po spuštění zašifruje data na disku. Uživateli se pak zobrazí výzva zaplatit ve lhůtě 96 hodin výkupné (v bitcoinech, aby nebylo možné platbu vystopovat). Útočníci slibují dodat po zaplacení výkupného šifrovací klíč, bez něhož jsou data nenávratně ztracena. Používaná šifra je totiž podle bezpečnostní divize společnosti Cisco, která na případ upozornila, dostatečně silná, takže dešifrovat data „hrubou silou“ je prakticky nemožné.

Kampaň vyděračského malware, která se veze na vlně zájmu o Windows 10, je dalším příkladem, jak důležité je dodržovat základní pravidla bezpečného chování na internetu, používat kvalitní bezpečnostní software a pravidelně zálohovat data. Co se týče záloh, ty by měly být umístěny offline; je třeba mít na paměti, že většina šifrovacího malware dokáže zašifrovat všechny disky, k nimž má aktuálně přihlášený uživatel přístup.