بر اساس گزارش محققان امنیتی این باج‌افزار از راه صفحه‌های اینترنتی وب گسترش می‌یابد. با بارگزاری این صفحه‌های آلوده و کلیک کاربر بدافزاری دانلود و نصب می‌شود که باج‌افزار CryptXXX را نصب می‌کند. البته برای نصب، بدافزار 62 دقیقه صبر می‌کند تا فایل‌های DLL را اجرا کند.

پس از آلوده سازی سامانه کاربر، باج‌افزار صفحه زمینه را به متن درخواست پول تغییر می‌دهد. در این مرحله فایل‌هایی به نام  de_crypt_readme.txt و  de_crypt_readme.html در قسمت‌های مختلف سامانه کاربر ایجاد می‌شود. این باج‌افزار 1.2 بیت کوین از کاربر درخواست می‌کند که از میانگین بیت کوین درخواستی باج‌افزارها بیشتر است.

علاوه بر رمزنگاری داده کاربر و اخاذی، باج‌افزار CryptXXX دارای قابلیت سرقت اطلاعات حساس مرورگر، پیام‌رسان و رمزعبورهای کاربر است.