Các nhà nghiên cứu lần đầu tiên phát hiện ra mã độc này vào cuối tháng Tám khi họ thấy một số hoạt động khác thường , dùng những gói UDP thay vì TCP và một số kết nối được tạo ra từ những trang web hợp lệ .

Sau khi phân tích kỹ hơn , những nhà nghiên cứu phát hiện ra CryLocker đã lây nhiễm tới người dùng và khóa một số lượng lớn những kiểu file . Thay vì gửi tất cả thông tin tới những máy chủ CnC từ xa , mã độc đòi tiền chuộc mã hóa dữ liệu này như là một file PND để sau đó tải lên Imgur hoặc Pastee nếu như Imgur không phản hồi .

Trend Micro phát hiện “Mặc dù file PNG có Header hợp lệ nhưng lại không  chứa hình ảnh mà là thông tin hệ thống  ở dạng chuỗi ASCII”

MalwareHunterTeam cho biết tìm được những hình ảnh PNG bên trong Album Imgur của CryLocker của hơn 10.000 nạn nhân .

Theo Trend Micro mã độc đòi tiền chuộc này tránh thực thi trên những PC mà dùng bàn phím theo ngôn ngữ Belarusian, Kazakh, Russian, Sakha, Ukrainian, và Uzbek.

Trong những giai đoạn đầu tiên của nó , CryLocker cũng dùng tên “Central Security Treatment Organization Ransomware” , nhưng điều này đã thay đổi trong phiên bản phát hành sau ngày 5/9 và chuyển từ dùng  Kit khai thác RIG sang Kit khai thác Sundown .

Kẻ đứng sau CryLocker đòi số tiền chuộc là 1.1 Bitcoin (khoảng gần 630$) để mới khóa những file của nạn nhân . Nó cũng thu thập chi tiết mạng Wi-Fi cục bộ và hiển thị vị trí của người dùng  trên thế giới bằng Google Maps .

Những file bị CryLocker mã hóa có thêm phần mở rộng .cry . Hiện tại chưa có công cụ giải mã miễn phí những file này .

Việc khôi phục dữ liệu bằng những bản sao Shadow Volume là hoàn toàn không  thể bởi vì mã độc này đã xóa chúng sau khi mã hóa . CryLocker khác với những mã độc khác bởi vì đầu tiên nó sao chép các file rồi mã hóa chúng , và sau đó xóa những file gốc . Hầu hết những mã độc đòi tiền chuộc chỉ mã hóa những file gốc .