Il servizio si prefigge di individuare comportamenti tipici dei ransomware quali, ad esempio, la cifratura di una cartella. A differenza degli antimalware basati su signature, il seguente servizio si prefigge di individuare minacce delle quali la signature non è stata ancora generata. Il servizio effettua un’analisi statica utilizzando informazioni sulla frequenza dei pattern di opcode presenti all’ interno dell’applicazione in analisi.