CTB-Locker verschlüsselt Dokumente, Fotos und andere für den Nutzer wertvolle Dateien auf der Festplatte. Der Trojaner blendet dann eine Erpresser-Meldung ein: Der Anwender hat 96 Stunden beziehungsweise vier Tage Zeit, um wieder an seine Daten zu kommen. Allerdings nur, wenn er das geforderte Lösegeld zahlt.
Die Höhe der Summe wurde von Cisco nicht veröffentlicht, in der Regel beträgt sie aber meist mehrere Hundert Euro, die in Bitcoin an die Erpresser zu zahlen sind. Zahlt das Opfer nicht, hat es nur wenige Chancen wieder an seine Dateien zu kommen. Man kann dann nur hoffen, dass es einem Sicherheitshersteller gelingt, die Verschlüsselung zu knacken und irgendwann ein Entschlüsselungs-Tool zu veröffentlichen.
Die Spam-Mails sind relativ leicht als gefälscht zu erkennen. So enthalten sie mehrere Kodierungsfehler wie „it‘s“ statt „it’s“. Deutschsprachige Varianten sind auch noch keine bekannt. Außerdem hängt an der Mail eine ZIP-Datei namens „Win10Installer.zip“. Microsoft würde das Update niemals per E-Mail versenden, stattdessen verteilt der Hersteller das Update über den hauseigenen Windows-Update-Dienst. Alternativ bietet Microsoft noch das kostenlose Windows 10 Media-Creation-Tool an, mit dem das Update heruntergeladen werden kann.