В частности, уведомление о выкупе теперь включает ссылки на адрес в сети Tor, который предлагается использовать в качестве формы обратной связи (ранее вирусописатели использовали только адрес электронной почты). Изменения также коснулись расширений имен файлов. Теперь после зашифровки файла к его имени добавляются расширения .da_vinci_code или .magic_software_syndicate.
Впервые вымогательское ПО Troldesh было замечено ИБ-исследователями в начале 2015 года. Оказавшись на системе троян создает файлы %APPDATA%windowscsrss.exe (копия вредоносной программы) и %TEMP%state.tmp (временный файл, используемый для шифрования). Troldesh изменяет некоторые записи в системном реестре с целью запуска при каждом включении компьютера.
Шифровальщик отображает на экране требование о выкупе за восстановление файлов на русском и английском языках, что может говорить о причастности к его созданию русскоязычных вирусописателей