Podle Cisca je malware, určený k distribuci Cryptowallu, hostován na více než 90 webech (včetně jednoho českého) a využívá především zranitelností v Javě, Flashi a Silverlightu. V případě úspěšného exploitu je stažen již zmíněný Cryptowall. Ten se velmi podobá populárnímu CryptoLockeru - tedy zašifruje lokální soubory a dožaduje se výkupného.
Experti vypátrali seznam webů, které hostují škodlivou reklamu, mezi nimi i řadu legitimních - ebay.in, apps.facebook.com či třeba theguardian.com. Nejvíce ohrožených uživatelů se nachází v USA (42 %) a Velké Británii (31 %).
Více o celé situaci i RIG Exploit Kitu, který se prodává za 300 dolarů týdně najdete na webu Cisca. Na závěr, pro dobrodruhy, ona zmíněná stránka s českou doménou prvního řádu: kuchar24. Návštěva na vlastní nebezpečí (SrcInject.B.Gen).