Como cualquier ransomware Ransom_Cryptbear.B bloquea archivos mediante cifrado, sólo que también cifra el archivo con la llave de cifrado, cuyo descifrado puede ser difícil dejando irrecuperable los archivos.
De acuerdo con los investigadores de seguridad de Trend Micro los cibercriminales detrás del ransomware han utilizado código abierto para ransomware denominado Hidden Tear, que el grupo de seguridad de Turquía Otku Sen publicó con fines educativos en github a mediados de agosto de 2015. Hidden Tear utiliza cifrado AES y debido a que es relativamente nuevo no es detectado por los antivirus comunes. También advertía de que no debía ser utilizado como ransomware, que obviamente no acataron los cibercriminales detrás de Ransom_Cryptbear.B.
Los expertos de Trend Micro descubrieron en Paraguay un sitio web hackeado que distribuía Ransom_Cryptbear.B, generado con código modificado de Hidden Tear. El ransomware estaba siendo distribuido como una actualización de Flash Player.
El ransomware exige en portugués el pago de 2 mil Reales (aproximadamente $496 USD) en moneda Bitcoin. Guarda la llave de cifrado en un archivo .TXT en el escritorio de la computadora, que también es cifrado durante el ataque del ransomware y antes de ser enviado al atacante.
El cifrado de la llave es considerado un error toda vez que puede hacer prácticamente imposible su descifrado y con ello la recuperación de los archivos, dejando como única opción que los usuarios infectados recuperen sus archivos desde un respaldo.