Il nome del dominio scelto per clonare il sito dei Farmacisti - spiega Agid-Cert - è simile a quello reale, con la lettera «l» al posto della «i» (da fofi a fofl). Il ransomware scaricabile dal sito fake è rinominato « IMMUNI.exe», una volta eseguito mostra un finto pannello di controllo con i risultati della contaminazione da Covid-19. Nel frattempo il malware provvede a cifrare i file presenti sul sistema Windows della vittima e a rinominarli assegnando l'estensione «.fuckunicornhtrhrtjrjy». Infine, mostra il classico file di testo con le istruzioni per il riscatto: il pagamento di 300 euro in bitcoin per liberare i file cifrati.
Il Cert-Agid spiega di aver «già allertato i comparti di pertinenza».