ไวรัสชนิดนี้  เมื่อเครื่องถูกเล่นงาน  จะพบไฟล์ซึ่งเป็นไฟล์ สำหรับรายละเอียดในการกู้ไฟล์โดยการจ่ายเงิน
เป็นเงินจำนวน 500$ ใน 168 ชมแรก และ เพิ่มขึ้นเรื่อยๆ 
- HELP_DECRYPT.HTML 
- HELP_DECRYPT.PNG 
- HELP_DECRYPT.TXT 
- HELP_DECRYPT.URL
อยู่ในทุกโฟลเดอร์ของเครื่อง หรือถ้าเสียบธัมไดร์ฟไว้ ก็จะถูกโจมตีด้วย ไม่สามารถเปิดได้ เพราะถูกเข้ารหัสไว้หมด

วิธีป้องกันเบื้องต้น

1. ไม่คลิกลิงก์แปลก หรือ ติดตั้งแอปพลิเคชันฟรี จากลิงก์แปลกปลอม
2. อัปเดตตัว Antivirus ให้เป็นปัจจุบัน
3. เปิด  Shadow copy service  windows 7  ขึ้นไป

3.1 เมนู Run พิมพ์คำสั่ง "services.msc"

3.2 จะพบหน้าต่าง component Service เลือก Services [local] และดับเบิ้ลคลิกที่ หัวข้อ Volume Shadow Copy

4. จะพบหน้าต่าง Voluem Shadows Copy [Local] เลือก ตามภาพประกอบ เสร็จแล้ว กดปุ่ม OK

การกู้คืนไฟล์ สำหรับเครื่องที่เปิด  Shadow copy Services  ไว้ก่อนที่จะถูกโจมตี

1. ดาวน์โหลดโปรแกรม  Shadow Explorer จากลิงก์นี้ http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-portable.zip
2. ทำการแตกไฟล์ และ รันไฟล์ชื่อShadowExplorerPortable.exe
3. เลือกวันที่ ที่ต้องการกู้ไฟล์ ตามภาพประกอบ

4.เลือก โฟลเดอร์ที่ต้องการกู้คืน โดยการคลิกขวา เลือก Export  และเลือกไดร์ฟที่ต้องการบันทึกไฟล์ แนะนำว่าควรเป็น ฮาร์ดไดร์ฟ เพราะ หลังจากกู้ไฟล์เสร็จ ควรจะติด Format และ ติดตั้ง Windows ใหม่