Механизам деловања тог вируса најдетаљније је описан још у априлу 2016. године у блогу компаније „Малвербајтс лабс“. Тада се вирус ширио мејлом који је садржао биографије сарадника. Кликом на њега отварали су се „виндоусови“ програми који су тражили администраторска права. Уколико би непажљиви корисник пристао, програм би копирао податке са хард диска и показивао „плави екран смрти“— саопштење о квару који предлаже рестартовање компјутера.
У овој фази, како наводе стручњаци, хард диск још није кодиран и подаци се могу спасити ако, на пример, искључите рачунар и повежете хард диск на други, али га не пребацујете у њега. У овом случају, подаци се могу копирати.
После рестарта „Пећа“ активира програм који се маскира у кориснички CHKDSK. У конкретном случају, он не проверава могуће грешке на хард диску, већ га кодира, при чему, како су установили истраживачи из „Малвербајтс лабсa“, он то не ради у потпуности, већ само делимично.
У „Лабораторији Касперског“ крајем марта 2016. године утврдили су да метод шифровања који користи „Пећа“ дозвољава да стручњаци поврате све податке. По завршетку кодирања, појави се екран црвене боје са поруком „Ви сте жртва вируса ’Пећа‘“ и захтевом да се плати триста долара у биткојнима. Детаљно упутство како купити неопходну суму у биткојнима и како је пренети на рачун изнуђивачима налази се на сајту „Дарквеб“.
Судећи према снимку екрана савремене верзије „Пеће“, сада нема никаквог сајта и сличних инструкција. Зараженим корисницима се предлаже размена доказа о уплати средстава у замену за кôд којим ће дешифровати хард диск.
Истраживачи наводе да део „Пеће“, који блокира приступ, пресреће управљање компјутером у најранијој фази скенирања. Њега су написали висококвалификовани програмери.
Од почетка 2016. године „Пећа“ се више пута модификовао. Постоје верзије са жутим екраном и захтевом за откуп, постоје и такви где назив вируса није показан.