Loại phần mềm mã hóa dữ liệu tống tiền (crypto-ransomware) mới mang tên CryptVault. Nó có khả năng mã hóa các tập tin trên máy tính, khiến chúng trông như những file bị cách ly (quarantined files) bởi một phần mềm diệt virus.
Nếu người dùng mở các file này lên, một bảng thông báo đòi tiền chuộc hiện ra. Đi kèm với phần mềm này là một công cụ chiết xuất các mật khẩu được lưu trữ trên các trình duyệt web phổ biến.
Phần mềm độc hại xâm nhập vào máy tính mục tiêu sau khi người dùng bị lừa tải về và mở một tập tin Javascript. Nó sẽ thực hiện tải về bốn tập tin: phần mềm tống tiền (ransomware), Sdelete (một công cụ được sử dụng để xóa các tập tin), GnuPG (công cụ mã hóa mã nguồn mở hợp pháp), và một tập tin thư viện GnuPG.
Phần mềm tống tiền sử dụng GnuPG để mã hóa và giải mã các tập tin. Nó nhắm đến những loại tập tin phổ biến, chủ yếu là các tập tin tài liệu, hình ảnh, và cơ sở dữ liệu.
Sau khi mã hóa, phần mềm độc hại sẽ gắn thêm đuôi .vault vào tên các tập tin và hiển thị dưới biểu tượng ổ khóa. Mỗi tập tin "bị khóa" và bị mã hóa sẽ hiển thị một thông báo đòi tiền chuộc nếu người dùng mở file ra.
Một thông báo đòi tiền chuộc lớn hơn và chi tiết hơn được hiển thị trên màn hình desktop của hệ thống bị nhiễm. Với việc thông báo đòi tiền chuộc và các cổng hỗ trợ (support portal) phần mềm tống tiền ở tại Nga, chiến dịch này rõ ràng là nhắm vào người dùng nói tiếng Nga.
Cuối cùng, phần mềm tống tiền cũng tải về và thực thi Brower Password Dump, một công cụ hack có khả năng chiết xuất các mật khẩu được lưu trữ trong một số các trình duyệt web phổ biến, mà sau đó sẽ được gửi đến máy chủ của những kẻ tấn công.
