Erst, wenn dies ausgeschlossen ist, installiert sich die Malware. Bevor sie ihre Arbeit aufnimmt, prüft sie erneut, ob sie von einen Virenscanner beobachtet wird. Falls ja, versucht sie, den sogenannten Master Boot Rekord auf der Festplatte des Rechners zu löschen, um ihn unbrauchbar zu machen. Wenn das nicht klappt, macht Rombertik alle Nutzerdaten auf der Startfestplatte des Computers unbrauchbar, indem er sie verschlüsselt und den PC dazu bringt, in eine Endlosschleife von Neustarts zu verfallen.
Auch wenn es so weit nicht kommt, macht Rombertik Analysesoftware die Arbeit schwer: Um nicht aufzufallen, versteckt sich die Malware. Ist das 28 kB kleine Installationspaket ausgepackt, wird es 1264 kB groß und gaukelt 8000 Programmfunktionen vor. Diese werden zwar nicht genutzt, machen die Analyse aber extrem aufwendig.
Um sicherzustellen, dass das Programm nicht entdeckt wird, sollte es doch in einer Sandbox laufen, wendet es einen weiteren perfiden Trick an: Rombertik schreibt eine Datei von einem Byte in einen Speichersektor - 960 Millionen Mal. Allein durch die Protokollierung dieser Prozesse würde eine Protokolldatei von 100 Gigabyte Größe entstehen, so Talos.