A TorrentLocker e-mailben terjed, amelyben a küldő egy dokumentum (ez általában egy számla vagy azonosító kód a csomagok nyomon követéséhez) letöltésére biztatja az áldozatot. Ha a címzett gyanútlanul letölti és megnyitja a rosszindulatú dokumentumot, az futtatja a TorrentLockert, amely kommunikálni kezd a vezérlőszerverrel (C&C) és titkosítja az áldozat fájljait.
A TorrentLocker egy jól ismert tulajdonsága a letöltés, a zsarolás szövege, illetve a fizetési módok lokalizálása: az áldozatok a saját nyelvükön kapnak információt, és saját valutájukban jelenik meg a váltságdíj összege.
A bűnözők által a TorrentLockeren elvégzett friss fejlesztések az internet-használókat védő mechanizmusokat igyekeznek gyengíteni, ehhez például módosították a kártevő és a vezérlőszerver kapcsolatát, és erősítették az áldozatok fájljainak titkosítási folyamatát.
Az először 2013 őszén megjelent, CryptoLockerként is ismert zsarolóvírus egy másik újdonsága, hogy hozzáadtak egy olyan scriptet, melynek segítségével a futtatható kártevő mindig az éppen aktuális legfrissebb verziójához vezet.
A malware-t és a kampányait elemezve az ESET kutatói felfedezték, hogy 22 ország kapta meg a zsaroló vagy fizetői oldal lokalizált verzióját. Azonban közülük 7 országot (Franciaország, Japán, Martinique, Portugália, a Koreai Köztársaság, Tajvan és Thaiföld) eddig nem sújtott számottevő TorrentLocker spam-kampány sem. Az ESET kutatói arra is felfigyeltek, hogy a TorrentLocker nem titkosítja bizonyos országok – Kína, Oroszország, Ukrajna és az Egyesült Államok – internet-használóinak adatait.
Az ESET tanácsai arra, hogy miként védhetjük meg magunkat a zsarolóvírusoktól.
