Varios usuarios informaron problemas con actualizaciones distribuidas con varios nombres: "Win10.0_System_Upgrade_Software.msi" y "Security_Upgrade_Software_Win10.0.msi". Otros archivos de descarga presentados en estas páginas web como supuestas actualizaciones de Windows 10 son “System.Upgrade.Win10.0-KB47287134.msi”, “System.Upgrade.Win10.0-KB82260712.msi”, “System.Upgrade .Win10.0 -KB18062410.msi” y “System.Upgrade.Win10.0-KB66846525.msi”, según Europa Press.
Según los datos registrados por VirusTotal, el antivirus gratuito que analiza archivos y páginas web, esta campaña de ransomware comenzó el 8 de abril y ha tenido una amplia distribución en todo el mundo.
Aunque no está 100% claro cómo se promocionan las actualizaciones falsas de Windows 10, las descargas se distribuyen desde sitios falsos de warez y crack. Una vez instalado, el ransomware borrará las instantáneas de volumen y cifrará los archivos. Mientras cifra los archivos, el ransomware agregará una extensión aleatoria de 8 caracteres, como .gtearevf. El ransomware también crea notas de rescate llamadas README.html en cada carpeta que contiene instrucciones sobre cómo acceder al sitio de pago Magniber Tor para pagar el rescate.
El sitio de pago de Magniber se titula "My Decryptor" y permite a la víctima descifrar un archivo de forma gratuita, ponerse en contacto con el "soporte" o determinar el monto del rescate y la dirección de bitcoin donde las víctimas deben realizar el pago. De acuerdo con las páginas de pago vistas por BleepingComputer, la mayoría de las demandas de rescate han sido de aproximadamente $2500 o 0,068 bitcoins por desbloquear el terminal y esta es una cantidad muy grande, ya que no estamos hablando de grandes empresas, ya que se dirigen a estudiantes y consumidores, por lo que debemos estar atentos y ser muy cuidadosos.