Según explica la compañía en su página web, 'JAFF' opera a través de la 'botnet' Necurs, uno de los distribuidores de 'malware' más efectivos de la red. Este virus fue lanzado por primera vez el pasado 11 de mayo, y durante sus primeros días de actividad se propagó al ritmo de más de 10.000 'emails' corruptos por hora.
Este 'ransomware' es capaz de propagarse gracias a los equipos infectados de la red Necurs. Estos envían correos electrónicos con 'spam' que llevan un archivo PDF adjunto. Al abrirlo, el usuario se encuentra con un documento de texto con macros con la extensión DOCM que pide permiso para ejecutarse. Si se ejecuta, se descargará e instalará 'JAFF' de forma involuntaria, y se producirá el secuestro de los archivos del ordenador. Según el virus, solo se podrán desencriptar mediante el pago de una cantidad económica en Bitcoins, al igual que lo solicitó el 'ransomware' WannaCry.
La 'botnet' Necurs es una de las más eficaces a la hora de propagar 'malware'. Gracias a esta, otros virus como 'Locky' o 'Dridex' consiguieron alcanzar cifras millonarias de dispositivos infectados.