Według Fortinetu Rombertik dostaje się na komputery swoich ofiar poprzez e-mail. Metoda ta nazywa się spear phishing i polega na atakach wymierzonych w konkretne osoby. Najczęściej hakerzy podszywają się pod znajomych albo współpracowników ofiary. Rombertik ukrywa się w mailach pod postacią fałszywego pliku PDF, który tak naprawdę jest wykonywalnym plikiem systemu Windows o rozszerzeniu .scr. Aby zmylić odbiorcę, atakujący zmieniają ikonę pliku na znaną z PDF-ów, bądź nazywają plik według klucza <nazwa.pdf.scr>. Domyślnie w ustawieniach systemu Windows pokazywanie rozszerzeń znanych plików jest wyłączone, dlatego końcówka .scr może być niewidoczna dla użytkownika.

Gdy Rombertik zainstaluje się na komputerze ofiary, zaczyna zbierać dane logowania i inne ważne informacje. Są one przechwytywane za pośrednictwem przeglądarek internetowych. Robak może kopiować dane wpisywane w „bezpiecznym” protokole HTTPS np. na stronach banków. Zebrane informacje są przekazywane na serwery hackerów.

Rombertik wyposażony został w mechanizmy ochronne utrudniające zlokalizowanie go i zanalizowanie przez programy antywirusowe. Jeśli wykryje, że jest namierzany przez oprogramowanie chroniące komputer, próbuje nadpisać główny rekord startowy, tzw. Master Boot Record na dysku twardym komputera. MBR zawiera program rozruchowy oraz tablicę partycji i jeśli zostanie zmieniony, system nie może się uruchomić, co powoduje trwające w nieskończoność restarty. Gdy z jakichś powodów robakowi nie uda się zmienić treści MBR (zdarza się to jednak stosunkowo rzadko), szyfrowane są wszystkie pliki użytkownika zlokalizowane w folderze głównym komputera (C:Documents and Settings<nazwa użytkownika>).

Naprawienie szkód wyrządzonych przez Rombertika wymaga zastosowania narzędzi odzyskujących dane. Są programy, które pomogą przywrócić uszkodzony lub usunięty MBR. Część z nich znajduje się na nośniku instalacyjnym systemu Windows. W niektórych przypadkach konieczna będzie reinstalacja systemu operacyjnego.

Artykuł Groźny wirus niszczy dyski twarde pochodzi z serwisu CRN.

Wirus pozwala twórcy na zamykanie i resetowanie systemu operacyjnego, blokowanie kursora w danym położeniu, uruchamianie w przeglądarce internetowej dowolnej strony internetowej czy wyświetlanie użytkownikowi dowolnego komunikatu. Najniebezpieczniejsza jest jednak zdolność aktualizacji wirusa. Ekspert z Esetu podkreśla, że to furtka do eskalacji infekcji lub rozszerzania zagrożenia w przyszłości.

Artykuł Polski wirus zagraża komputerom pochodzi z serwisu CRN.

Odpalenie 'aktywatora’ powoduje zagnieżdżenie się szkodnika na dysku komputera. Następnie Cryptolocker 2.0., podobnie jak swój poprzednik, rozpoczyna skanowanie w poszukiwaniu interesujących go plików na dysku, by na końcu je zaszyfrować. Finalnie wyświetla okno z informacją o zablokowaniu dostępu do plików i możliwości przywrócenia do nich dostępu w zamian za okup w kryptowalucie Bitcoin.

Czym różni się nowy Cryptolocker 2.0 od swojej poprzedniej wersji? Główną zmianą jest inny algorytm szyfrujący – w wypadku Cryptolockera 2.0 stosowany jest słabszy algorytm 3DES. Starsze wydanie korzystało z silniejszego algorytmu AES. Ponadto Cryptolocker 2.0 szyfruje nie tylko dokumenty, ale również pliki zawierające zdjęcia, muzykę oraz filmy (.mp3, .mp4, .jpg, .png, .avi, .mpg itd.). Najbardziej widoczną różnicą jest żądanie okupu wyłącznie w Bitcoinach, a nie jak poprzednio w postaci płatności Ukash, MoneyPak czy CashU. 
 
Zagrożenie jest identyfikowane przez programy Eset jako Filecoder.D oraz Filecoder.E. Według Esetu jeśli pliki zostały już zaszyfrowane, to usunięcie Cryptolockera 2.0 z systemu nie wystarczy, by odzyskać dostęp do danych. Jedynym rozwiązaniem jest skorzystanie z aktualnej kopii zapasowej.

Artykuł Nowy szkodnik poluje na fanów pirackiego oprogramowania Microsoftu pochodzi z serwisu CRN.