Este ransomware ha sido denominado como PyCL por el lenguaje en el que está programado, Python, y el nombre utilizado en el script, cl.py. Y, aunque los colores y la interfaz usados por PyCL tienen una gran semejanza con CTB-Locker/Critroni, el código está escrito en un lenguaje diferente y no tiene cadenas de caracteres distintivos en los ejecutables y notas.
De acuerdo con los datos de las investigaciones, la forma de difundir PyCL era a través de ataques a sitios web para redirigir a los visitantes al exploit kit RIGEK, que a su vez trataba de explotar las vulnerabilidades de los dispositivos de los usuarios para infectarlos con este nuevo ransomware.