A Ransomlock trójai nagyon komoly bosszúságot, és nem kis károkat tud okozni azzal, hogy teljes mértékben zárolja a fertőzött számítógépeket.
A Ransomlock trójai — ellentétben nagyon sok rejtőzködő kártékony programmal — igencsak feltűnő műveleteket végez, ugyanis a fertőzött rendszereken teljes mértékben zárolja a Windowshoz való hozzáférést. A kártevő egy ablakot jelenít meg, amelyben — orosz nyelven — közli a felhasználóval, hogy egy SMS-ben el kell küldenie egy, a trójai által generált kódot, amelyre válaszként egy aktivációs kódot kap vissza. Amennyiben ezt a kódot megadja az ablakban elhelyezett beviteli mezőben, akkor újra használatba veheti a Windowst. A valóságban azonban semmi sem garantálja, hogy ez így is fog történni, főleg azért, mert a Symantec elemzése szerint az SMS-ben elküldendő kód teljesen véletlenszerűen kerül legenerálásra.
Noha eddig is jelentek már meg zsaroló kártékony programok, azok elsősorban fájlok titkosításával próbáltak pénz kicsikarni a felhasználókból. Ezzel szemben a Ransomlock a teljes Windowshoz való hozzáférést igyekszik ellehetetleníteni. A Ransomlock készítői arról is gondoskodtak, hogy a kártékony programjuk a Windows csökkentett módban történő újraindításakor is be tudjon töltődni.
Amikor a Ransomlock trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő állományt:
%Temp%\don[véletlenszerű karakterek].tmp - A regisztrációs adatbázisban módosítja az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon”Userinit” = “%System%\userinit.exe
%Temp%\don[véletlenszerű karakterek].tmp” - Megjelenít egy ablakot, amellyel elérhetetlenné teszi a Windows többi összetevőjét. Az ablakban megjelenik egy véletlenszerűen generált szám valamint egy SMS-küldéshez felhasználható szám is. A trójai üzenete szerint csak akkor zárható be az ablak, ha a felhasználó megfelelő — SMS-ben kapott — aktivációs kódot ad meg.
- A trójai arról is gondoskodik, hogy a Windows csökkentett módban történő indításakor is be tudjon töltődni.