Jest to wirus plikowy mający postać pliku PE EXE. Rozmiar wirusa wynosi około 56KB (kompresja UPX, rozmiar po rozpakowaniu około 122KB).

Po uruchomieniu na zainfekowanym komputerze wirus szyfruje pliki posiadające następujące rozszerzenia:

arj
cdr
cgi
css
csv
db
dbf
dbt
dbx
doc
flb
frm
frt
frx
gtd
gz
htm
html
kwm
mdb
mmf
pak
pdf
pl
pst
pwa
pwl
pwm
rar
rmr
rtf
sar
tar
tbb
txt
xls
xml
zip

Po uruchomieniu oryginalny plik wirusa zostanie usunięty.

Na początku zaszyfrowanych plików widnieje następujący tekst:

PGPcoder

W folderach zawierających zaszyfrowane pliki pojawia się plik o nazwie readme.txt, zawierający natępującą treść:

Some files are coded.
To buy decoder mail: md56@mail.ru       
with subject: PGPcoder md56

Tekst może zawierać inny adres e-mail lub wersję dekodera, w zależności od wersji wirusa Virus.Win32.GPCode

Po wysłaniu wiadomości na adres wyszczególniony w pliku readme.txt, użytkownik otrzyma odpowiedź z żądaniem zapłacenia określonej sumy w zamian za odszyfrowanie plików.