1.咱们网络到的消息评释，挫折是从5月初开始的，挫折工具是几个构造。歹意应用说明表现，ColdLock与此前已知的两个打单应用系列有类似之处，尤为是Lockergoga、Freeking和EDA2。没有迹象评释此次攻打攻打了指标构造之外的任何构造。

2.咱们还不晓得这一威逼是怎样进来潜伏受害者网页的。不过，咱们觉得攻打者以某种方法获取了对指标构造的ActiveDirectory服务器的走访权限。此时，他们可以或许配置一个组计谋，使打单应用文件下载并在受影响域中的电脑上运转。

3.有用负载以.NET可实行文件(.DLL文件)的模式存在，该文件已应用殽杂器REX包装法式举行包装/护卫。它应用PowerShell的反射加载。NET可实行文件来运转上述法式。DLL文件：

4.它还包括两个搜检，以考证它是否正在运转。开始，它搜检打单文件应用的%systemroot%\Programdata\neadme.tmp是否存在。此搜检可防备体系再次受到相像威逼的熏染：它搜检体系时钟。它只会鄙人午12点10分或以后运转。若光阴较早，它将休眠15秒，直到跨越上述光阴。