Взлом происходит незаметно для анивирусных программ, так как программисты используют обычные механизмы файловой системы ОС (NTFS). По утверждению профессионалов, благодаря применению так называемых транзакций NTFS имеется возможность модифицировать настоящий исполняемый файл с помощью вредоносного кода, результат при всем этом не будет сохранен на жестком диске, соответственно, не будет найден антивирусами. Код регулярно находится в оперативной памяти. Специалисты подвергли атаке компьютеры, защищенные Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Суть работы вируса заключается в подмене кода запущенного процесса на вредный. С помощью данной техники вирус похищает пароли и подменяет окна браузера. Она протестировали около 10-ти самых известных антивирусных программ, ни одна из которых не смогла найти вредный файл. До этого в «Лаборатории Касперского» сообщили, что в 2018-ом целями хакеров станут технологические учреждения и создатели легального программного обеспечения. По мнению профессионалов, участившиеся атаки вирусов-вымогателей в 2015-м году показали уязвимость всех видов сетей, включая технологические. Атаки также могут быть на домашние роутеры и модемы, поэтому профессионалы рекомендуют поменять заводские пароли и выделить отдельную подсеть для домашних устройств.