Được biết đến với tên gọi Ransom:Win32/ZCryptor.A, mã độc này có cách thức lây nhiễm tương tự như cách thức lây nhiễm của một số dạng mã độc khác như: thư rác, mã độc marco hay chương trình cài đặt giả mạo. Điểm khác biệt của Zcryptor là khả năng tự phát tán và lây nhiễm từ một máy tính bị xâm nhập.
Để thực hiện lây nhiễm, ZCryptor cài đặt một tập tin autorun.inf trên ổ cứng di động. Tập tin này có thể lây nhiễm vào các máy tính khi sử dụng những ổ đĩa này. Các nhà nghiên cứu của Microsoft giải thích rằng, các mã độc tống tiền này sẽ lợi dụng mạng nhằm mục đích tự phát tán, chúng sẽ cài đặt các bản sao của mình đến các vị trí khác nhau, thay đổi các thuộc tính tập tin này để tự ẩn mình trong mạng.
Khi phân tích mã độc này, các nhà nghiên cứu của hãng bảo mật TrendMicro nhận thấy, mã độc ZCryptor được thiết kế để nhắm vào các máy tính Windows XP 64 bit, ngoài ra chúng cũng có thể chạy trên một số phiên bản gần đây của Windows như Windows 7 và 8.
Khi lây nhiễm vào hệ thống, mã độc Zcryptor có thể chạy khi khởi động hệ thống bằng cách tạo ra các khóa đăng ký registry, sau khi cài tập tin autorun.inf từ ổ cứng di động và zycrypt.lnk vào trong thư mục khởi động hệ thống. Tiếp đó, các mã độc này sẽ tạo ra các bản sao ẩn của chúng là {Drive}: \ system.exevà % appdata% \ zcrypt.exe.
Mã độc tống tiền này nhắm vào hầu hết các loại tập tin, mã hóa chúng và thêm phần mở rộng .zcrypt, đồng thời cũng tạo các mutex zcrypt1.0 trên những máy tính bị nhiễm, với mục đích thông báo rằng máy tính của người dùng đã nhiễm phần mềm độc hại. Ngoài ra chúng cũng kết nối đến các máy chủ điều khiển để trao đổi thông tin.
Mã độc ZCryptor yêu cầu khoản tiền chuộc ban đầu là 1,2 Bitcoin, nhưng sẽ tăng lên 5 Bitcoin sau bốn ngày nếu người dùng không thanh toán. Tuy nhiên, việc trả tiền chuộc không phải là một sự lựa chọn có thể giải quyết được triệt để vấn đề. Thay vào đó, người dùng nên sao lưu dữ liệu để giảm bớt tác động của sự lây nhiễm mã độc.