این بد افزار که نام Ransome32 را به آن داده اند از طریق Node.js و بر روی پلتفرم NW.js عمل میکند تا وارد سیستم عامل هدف شده و فایل ها را به گروگان بگیرد. درحالی که مکانیزم عمل این باج گیر نیز مانند همه باج گیرهای دیگر است، اما این نمونه بسیار متفاوت و پیچیده است.
این باج گیر نه تنها قابلیت عمل به شکل Cross-Platform را دارا است بلکه تشخیص و کشف آن بسیار دشوار است. این بد افزار درحال حاضر در فضای Dark Web در حال معامله و خرید و فروش است و طراحان آن نسخه های قابل شخصی سازی و متفاوتی را از آن ارائه میکنند. آن هم در قبال 25 درصد از کل پولی که توسط این بد افزار به دست بیاید.
«فابین وسار» متخصص امنیتی شرکت Emsisoft که کاشف این کد بدافزاری است اشاره کرده است که کد جاوا با نام NW.js به شکل فشرده در یک پکیج نرم افزار WinRAR قرار گرفته است که حاوی یک کد بد افزاری باج گیر است. این پکیج به محض دریافت با استفاده از کد های اسکریپت خود را از حالت فشرده خارج میکند و بد افزار را به گونه ای پیکر بندی میکند که در حین شروع به کار سیستم فعال شود.
سپس بد افزار از طریق باندل TOR به
سیستم فرماندهی و کنترل متصل میشود، فایل های سیستم رمزگذاری شده و پیامی برای
قربانی نمایش داده میشود.
«وسار» بیان میکند که این رمز گذرای با استفاده از متد AES 128 Bit صورت میگرد و برای هر فایل به شکل جداگانه یک کلید طراحی میشود. وی بیان کرده است که در حال حاضر در اختیار داشتن یک نسخه پشتیبان قوی از اطلاعات و فایل ها تنها راه دفاع در برابر این ابزار و ابزارهای مشابه است.