Mehanizam delovanja tog virusa najdetaljnije je opisan još u aprilu 2016. godine u blogu kompanije „Malverbajts labs“. Tada se virus širio mejlom koji je sadržao biografije saradnika. Klikom na njega otvarali su se „vindousovi“ programi koji su tražili administratorska prava. Ukoliko bi nepažljivi korisnik pristao, program bi kopirao podatke sa hard diska i pokazivao „plavi ekran smrti“— saopštenje o kvaru koji predlaže restartovanje kompjutera.
U ovoj fazi, kako navode stručnjaci, hard disk još nije kodiran i podaci se mogu spasiti ako, na primer, isključite računar i povežete hard disk na drugi, ali ga ne prebacujete u njega. U ovom slučaju, podaci se mogu kopirati.
Posle restarta „Peća“ aktivira program koji se maskira u korisnički CHKDSK. U konkretnom slučaju, on ne proverava moguće greške na hard disku, već ga kodira, pri čemu, kako su ustanovili istraživači iz „Malverbajts labsa“, on to ne radi u potpunosti, već samo delimično.
U „Laboratoriji Kasperskog“ krajem marta 2016. godine utvrdili su da metod šifrovanja koji koristi „Peća“ dozvoljava da stručnjaci povrate sve podatke. Po završetku kodiranja, pojavi se ekran crvene boje sa porukom „Vi ste žrtva virusa ’Peća‘“ i zahtevom da se plati trista dolara u bitkojnima. Detaljno uputstvo kako kupiti neophodnu sumu u bitkojnima i kako je preneti na račun iznuđivačima nalazi se na sajtu „Darkveb“.
Sudeći prema snimku ekrana savremene verzije „Peće“, sada nema nikakvog sajta i sličnih instrukcija. Zaraženim korisnicima se predlaže razmena dokaza o uplati sredstava u zamenu za kôd kojim će dešifrovati hard disk.
Istraživači navode da deo „Peće“, koji blokira pristup, presreće upravljanje kompjuterom u najranijoj fazi skeniranja. Njega su napisali visokokvalifikovani programeri.
Od početka 2016. godine „Peća“ se više puta modifikovao. Postoje verzije sa žutim ekranom i zahtevom za otkup, postoje i takvi gde naziv virusa nije pokazan.
