В Швеции вирус был замаскирован под электронные письма коммуникационной компании Telia либо почтовой службы Postnord.

Вирус, рассылаемый анонимными киберзлоумышленниками с неверных электронных адресов компаний из Швеции Telia и PostNord, на самом деле запущен с русских серверов. Пользователь получал емейл от популярной почтовой службы, где его просили подтвердить аккаунт. Об этом говорится в статье, опубликованной на сайте шведского канала SVT, ссылаясь на расследование его служащих. Как только владелец почты открывал вредоносное письмо, оперативная база компьютера сей же час блокировалась, и за ее разблокировку нужно было перевести определенную сумму биткоинов. После этого вымогатели добивались платить за разблокировку от 400 до 6 тыс. крон (40-600 евро) в биткоинах.

По имеющимся данным, в одной Швеции вирус был отправлен на 1,6 млн электронных адресов, всего же атаке подверглась 31 страна, включая Австралию, Испанию, Италию и Турцию.

Расследование репортеров показало, что злоумышленники до этого работали на интернет-провайдера в Петербурге.

По последней достоверной информации иностранных корреспондентов, IP-адрес, который несет в себе угрозу, «управляется с подключения в центре Санкт-Петербурга». Среди пострадавших были и юзеры из РФ.

По мнению профессионала Кима Зеттера из соедененных штатов, к которому обратились за комментарием работники SVT, вирусы-вымогатели вообще говоря были изобретены в РФ, а их рассылка — это дело рук «традиционной русской мафии». Сам вывод о русских серверах корреспонденты получили после того как смогли пробраться в сеть правонарушителей, получив переписку с ними.

Как говорилось, вымогатели закончили деятельность весной 2017 года.