• створений файл rundll32.exe;
• звернення до локальних IP-адресами на порт 139 TCP і порт 445 TCP;
• створений файл perfc.bat;
• запуск cmd.exe з командою /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
• створений файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) і здійснений його запуск;
• створений файл dllhost.dat.

Надалі шкідливе програмне забезпечення поширювалося за допомогою вразливості в протоколі Samba, яка також використовувалася під час атаки шифрувальника WannaCry.

Кіберполіції України рекомендує тимчасово не застосовувати оновлення, які пропонує програмне забезпечення «M.E.doc.» При запуску.

Також українські кіберкопи відзначили, що зараження через M.E.doc не стало єдиним вектором атаки, серед способів поширення зловредів також фіксувався фішинг.

На сайті M.E.doc поки присутнє тільки попередження про те, що на сервера сервісу здійснюється вірусна атака, в зв'язку з чим адміністрація просить у своїх користувачів вибачення за тимчасові незручності.
Департамент кіберполіції Національної поліції України виклав ще одну запис на своїй Facebook-сторінці, де вказав, що «не звинувачує, а констатує факти»:

«Звертаємо увагу, що ми не звинувачуємо компанію «M.E.doc», лише констатуємо виявлені факти, які слід детально перевірити.

Тому на період перевірки ми не рекомендуємо здійснювати відповідні оновлення. Ми повинні були про це попередити користувачів.»