Компьютеры пользователей с одной из версий операционной системы Windows,были поражены после открытия открытия файлов электронных документов с расширением .doc и .rtf, которые направлялись по каналам электронной почты от неустановленных отправителей.

После этого выполнялся встраиваемый в документы вредный алгоритм, по результатам которого загружался и выполнялся файл - тело вируса под названием "heropad64.exe".

После отработки указанного вируса диск компьютера шифровался, на экране изображалось сообщение с требованием выкупа за расшифровку файлов и ссылкой на сайт в сети ТОR, где можно получить реквизиты для перевода средств в размере 0,05 ВТС.

Полицейские утверждают, что указанная атака было не целенаправленной. От ее последствий пострадали не только украинские субъекты хозяйствования.

По предварительному анализу, атака также было осуществлена с использованием бот-сети Necurs.

Для атаки хакеры использовали уязвимость DDE в Microsoft Office (CVE-2017-11826).