براساس آخرین اطلاعات ارائه شده هکرها با استفاده از روزنه‌های موجود در نرم‌افزارهایی نظیر وردپرس و جوملا که به آخرین نسخه بروز نشده‌اند، اقدام به هدایت وب‌سایت‌های مبتنی بر این CMS‌ها به وب‌سایت‌های دیگری می‌کنند که باج افزار CryptXXX را روی سیستم کاربران نصب می‌کند.

کمپانی Sucuri States که در زمینه‌ی امنیت وب فعالیت می‌کند، این کمپین برای آلوده کردن کاربران را جدید خوانده و اعلام کرده که در طول چند هفته‌ی اخیر بیش از ۱۰۰ وب‌سایت بصورت روزانه آلوده شده و کاربران خود را نیز در معرض دریافت باج افزار قرار می‌دهند. این کمپانی اعلام کرده که به تنهایی موفق شده تا کنون بیش از ۲٫۰۰۰ وب سایت آلوده را شناسایی کند. با توجه به اینکه این آمار برگرفته از سیستم اسکن وب‌سایت‌های Sucuri است، از این‌رو می‌توان حدس زد که آمار اصلی بسیار بالاتر باشد. براساس گفته‌های دنیل سید، موسس Sucuri رقم واقعی وب‌سایت‌های آلوده می‌تواند پنج برابر میزانی باشد که توسط این کمپانی اعلام شده است.

سید به این موضوع اشاره کرده که امروزه بیش از ۹۰ درصد وب‌سایت‌های موجود در فضای اینترنت از نرم‌افزار‌های CMS استفاده می‌کنند که بیش از ۶۰ درصد این وب‌سایت‌ها از جوملا و وردپرس بهره می‌برند. با بررسی نسخه‌ی CMS‌های مورد حمله می‌توان به این نکته پی برد که هکرها از طریق دستیابی به هسته‌ی این نرم‌افزار‌ها اقدامات خود را به پیش برده و احتمالا از یک ضعف امنیتی در یکی از پلاگین‌ها برای هدایت ترافیک به سمت وب‌سایت‌های دیگر بهره می‌برند.

همانطور که اشاره کردیم این باج افزار تحت کمپینی به آلوده کردن کاربران می‌پردازد و اسم انتخابی برای آن Reastatistics است که برگرفته از دامین وب‌سایت‌هایی با پسوند info. و pro. است. هکرها با هدایت ترافیک وب‌سایت‌های آلوده به دو آدرسی که به آن اشاره کردیم، با استفاده از یک کد جاوا اسکریپت، رایانه‌ی فرد مورد نظر را آلوده می‌کنند.

البته باید به این موضوع اشاره کرد که گوگل به وجود این باج افزار پی برده و وب‌سایت‌های آلوده را برای کاربران مشخص می‌کند. برای چک کردن این نکته که آیا وب‌سایتی به این باج افزار آلوده است، می‌توان به سرویس چک کردن وب‌سایت کمپانی Sucuri مراجعه کرد.