Шифратор, известный с 2014 года, распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний.

Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя.

Схема работы TorrentLocker с 2014 года не изменилась кардинально, но злоумышленники внедрили несколько обновлений.  После блокировки файлов TorrentLocker определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. В ESET выяснили, что вымогатель «поддерживает» 22 страны, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию и др.

TorrentLocker шифрует файлы на компьютере жертвы, свои конфигурационные файлы и данные для командного сервера. В 2014 году вымогатель использовал криптографическую библиотеку LibTomCrypt, новые версии «предпочитают» функции Microsoft CryptoAPI.
Зловред заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере – она не «трогает» системные файлы Windows. Новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys невозможно.

Еще одно нововведение состоит в том, что TorrentLocker шифрует меньший объем данных. В старых версиях программа шифровала первые 2 Мб файлов. Сейчас размер шифруемой части сократился до одного мегабайта.

Сайты, которые используются для распространения TorrentLocker, по–прежнему открываются только из той страны, на которую нацелена атака. Это усложняет работу вирусных аналитиков и автоматических решений для сбора данных. Изменилась модель работы с удаленным сервером – шифратор пытается обращаться к сервису анонимной сети Tor.