Программа-вымогатель Winlocker работает следующим образом: после установки на компьютер жертвы программа блокирует его с помощью системных функций и прописывается в автозагрузке (в соответствующих ветках системного реестра). 1

При этом на экране пользователь видит выдуманное сообщение, к примеру, о якобы незаконных действиях, только что совершённых пользователем (даже со ссылками на статьи законов), и требование выкупа. 1 В качестве вариантов оплаты пользователю предлагается СМС-платёж на короткий номер или же электронный кошелёк в системах WebMoney, Яндекс Деньги. 4

При этом компьютер остаётся в рабочем состоянии. 1 Часто присутствует угроза уничтожения всех данных, но это всего лишь попытка запугать пользователя. 1

Современные вирусы семейства Winlocker устойчивы к перезагрузке, некоторые даже к безопасному режиму с поддержкой командной строки, из чего становится ясно, что вирус прописывается в автозагрузку. 2