Согласно ресурсу BleepingComputer, сообщение с требованием выкупа отображается перед экраном логина, блокируя возможность входа в систему. Вредонос также останавливает процесс Explorer и предотвращает запуск "Менеджера задач". Обойти блокировку возможно при помощи загрузки операционной системы в безопасном режиме или при помощи комбинации клавиш ALT+F4.
В отличие от других вредоносов подобного рода, распространяющихся посредством наборов эксплоитов, скомпрометированных сайтов или спама, авторы Kangaroo взламывают и инфицируют целевые системы вручную при помощи Remote Desktop.
После запуска вредонос отображает уникальный идентификатор жертвы и ключ шифрования, который вирусописатели копируют. Далее Kangaroo приступает к шифрованию файлов на компьютере, добавляя к каждому имени файла расширение .crypted_file. Кроме того, вредонос создает отдельное требование выкупа для каждого зашифрованного файла. По окончании процесса Kangaroo отображает сообщение, уведомляющее пользователя о блокировке доступа к его данным.
В настоящее время восстановить файлы, зашифрованные Kangaroo, невозможно.