而对于运行Windows 7以上版本的电脑，该恶意程序便会利用操作系统内置的公用程序Diskpart，将本机磁盘所有的非启动磁区缩小100 MB，然后运用这些空间创建新的主要磁区，成功后利用另外一个公用程序bcdboot，并于新磁区部署启动文件，窜改电脑的机码，调整BitLocker、TPM相关配置。

完成上述工作后，该勒索软件便会启动BitLocker磁盘加密服务（BDESVC），窜改磁盘机标签留下电子邮件信箱，以便受害者能向他们联系。

然后，该恶意程序停用BitLocker加密密钥保护程序，并将其删除，防止用户复原密钥。接着，对方通过随机的算数产生64个字符的加密密钥，并将其转换安全字符串，这么做的目的，研究人员表示，黑客是借由PowerShell的功能，防止在内存内留下踪迹。

攻击者通过脚本发出HTTP POST请求，回传恶意程序产生的密码，以及受害电脑的系统信息，然后清除作案痕迹并将电脑关机，过程中滥用TryCloudflare服务来隐匿行踪。

当受害者将电脑开机，会看到与BitLocker有关的消息，然而若是尝试运行复原，电脑会显示没有可复原的选项。