Според анализ на експерти от компаниите Cyderes и Stairwell става въпрос за зловреден модул, който се опитва да повреди съдържанието на файловете, вместо да ги криптира. Тоест говорим за функционалността на на т.нар. уайпър (wiper).

След извличане на файлове, представляващи интерес за нападателите, на отдалечен сървър, се стартира разрушителна функция: произволно избран сегмент от всеки следващ файл в опашката се копира в буфера и се записва в началото на предишния файл, припокривайки се оригиналното съдържание, като по този начин се нарушава неговата цялост.

Такъв алгоритъм позволява на зловредния софтуер да избегне реакция от инструменти за сигурност, базирани на евристични алгоритми, които откриват рансъмуерите и уайпърите по тяхното поведение. В допълнение копирането на данни от един файл в друг също изглежда много по-невинно от презаписването на файлове с произволни данни или криптиране.

Междувременно, според експертите, създаването на стабилен инструмент за шифроване е много по-скъпо начинание от създаването на програма, която поврежда файлове и предлага срещу откуп техни предварително извлечени копия.

Според Cyderes и Stairwell разрушителната функция на Exmatter все още не изглежда завършена. Като пример се посочва, че сегментът от файла, в който се презаписва фрагмент от друг, има произволни размери - до един байт. Механизмът за премахване на файлове от опашката за повреждане пък не е реализиран, така че някои файлове могат да бъдат повредени няколко пъти, докато други остават непокътнати.

Подчертава се обаче, че Exmatter е илюстрация на нов и по-практичен подход към киберизнудването, така че е възможно този или подобен метод да бъде възприет и от други престъпни групи.