Злоумышленники задействовали два сайта, посвященных коронавирусу, которые сейчас уже заблокированы. При запуске CryCryptor запрашивал разрешение на доступ к данным жертвы и шифровал файлы, оставляя в каждом каталоге файл «readme» с почтой преступника.
Таким образом хакеры оповещали пользователя и требовали выкуп. CryCryptor разработан на основе открытого исходного кода, размещенного на GitHub.