Sau khi lây nhiễm, Popcorn Time sẽ kiểm tra xem nó đã chạy trên máy tính đó chưa, nếu đã chạy, mã độc sẽ tự chấm dứt. Nhưng nếu chưa chạy, Popcorn Time sẽ tải xuống những hình ảnh khác nhau để làm nền hoặc bắt đầu mã hoá các tệp bằng thuật toán AES với khoá 256 bit.
Các tệp mã hoá sẽ được gắn thêm phần mở rộng ".filock" hay ".kok". Trong quá trình mã hoá, mã độc này hiển thị màn hình giả như đang cài đặt ứng dụng. Sau khi mã hoá xong, nó sẽ chuyển đổi hai chuỗi base64 rồi lưu chúng thành 2 thông báo tống tiền restore_your_files.html và restore_your_files.txt, và cuối cùng là hiển thị thông báo tống tiền HTML.
Điểm đặc biệt là Popcorn Time cho nạn nhân thêm một lựa chọn nữa ngoài việc trả tiền chuộc, đó là gửi đi liên kết giới thiệu để lây mã độc cho máy tính của nạn nhân khác. Nếu hai người đó trả tiền chuộc thì nạn nhân có công “giới thiệu” sẽ nhận được khoá giải mã miễn phí.
Để nạn nhân có thể “giới thiệu” với nạn nhân khác, trong thông báo tống tiền có chứa URL trỏ tới một tệp trên máy chủ TOR của Popcorn Time.