Der in die Werbebanner eingebundene Schadcode nutzt eine Sicherheitslücke im Adobe Flash Player, um heimlich sogenannte Flashpack-Exploits auszuführen. Diese bemächtigen sich wiederum einer Schwachstelle im Browser, um Cryptowall auf dem Rechner des Opfers zu installieren. Dort angekommen, verschlüsselt die Erpresser-Software die Festplatte des Nutzers und gibt den Zugang zu dem für die Entschlüsselung benötigten Private Key erst wieder nach einer über das Internet getätigten Gebührenzahlung frei.
Ein für solche Ransomware typisches Verhalten ist auch das Setzen einer Frist, bis zu der das Lösegeld gezahlt sein muss: Die Erpresser drohen damit, nach Ablauf dieser Frist die Festplatte mit all ihren Informationen dauerhaft zu chiffrieren. Erste Instanzen dieser Malvertising-Aktivitäten hatte Proofpoint bereits Ende September registriert. Die Zahl solcher Kampagnen nahm laut dem Unternehmen allerdings in den vergangenen Tagen signifikant zu.
Nutzern empfiehlt Proofpoint, ihr System durch die Installation der neuesten Patches und Updates abzusichern. Dabei sollten laut dem Sicherheitsanbieter nicht nur Betriebssystem und Browser auf dem aktuellen Stand sein, sondern auch andere potenziell anfällige Software und Plug-ins stets ein Update erhalten. Zu diesem Kreis an Programmen zählt Proofpoint unter anderem Microsoft Office, Adobe Reader und Adobe Flash Player sowie Oracle Java. Überdies sollten Nutzer ihren Browser so konfigurieren, dass Plug-ins nicht automatisch ausgeführt werden.