该有效负载会将整个硬盘与相链接的网络硬盘中的文件，利用公开密钥进行加密，并将文件加密的纪录送入一个登录码。这个过程中，仅会将特定附档名的数据文件进行加密，例如Microsoft Office、OpenDocument与其他的文件、图像与AutoCAD文件。有效负载接者会显示一则消息，告知用户文件已经被加密，并必须经由预储值管道（如MoneyPak或Ukash）支付300美元或欧元，或是2比特币，才能解开这些文件。付款动作必须在72至100小时内完成，否则私人密钥将会在服务器端摧毁，并且“将永远没有人能打开这些文件。”勒索付款后，会允许用户下载一个解密程序，然后预载用户的私人密钥。

2013年11月，CryptoLocker的操作者开放了一个线上服务，允许用户不用CryptoLocker程序就能解密文件，并且必须于截止时间前下载解密密钥；这个过程包含了将解密文件样本上传到恶意软件的网站，然后在24小时内，网站会依据请求，查找匹配的密钥。一旦匹配成功，用户就能够进行线上付款；如果72小时的期限已过，付款价格将会增长到10比特币（在2013年11月上旬，换算汇率为超过3500美元）。

CryptoLocker利用邮件、聊天工具、僵尸网络以及被黑客攻击的网站进行扩散，所有访问者都将被安装该软件。软件安装之后会立即运行，并自动加密所有能够找到的文档文件（包括可移动设备上的数据），锁定计算机屏幕，要求用户付费解除加密。CryptoLocker通过微软提供的私人高级加密技术（RSA）进行加密，该算法提供的私钥掌握在黑客手中，如果黑客72或100小时内没有收到汇款（根据软件设定时间确定），则黑客可以销毁该密钥，损失的数据将永远无法找回。

安全软件可能无法侦测到CryptoLocker，或只能在解密进行或完成后才会被侦测到。如果该攻击能在早期被起疑或侦测到，该恶意软件有时只会加密一小部分的文件；立即清除该恶意软件（这本身就是一个相对简单的程序）理论上可以降低数据的伤害数量。专家建议的预防方式，包含使用软件或其他安全策略，阻挡CryptoLocker的有效负荷完全被占据。平常勤于备份重要文件，并离线、异地存储，使得文件遭勒索软件加密后，尚有机会可从备份还原。

由于该文件的操作性质，一些专家坦承支付给勒索者是在缺乏备份还原（尤其是不经由网络连接下的离线备份，或是从连续数据保护系统的备份进行还原）下的唯一方式。由于密钥的长度是由CryptoLocker所操纵，可以预见地，这些被加密的文件无法暴力破解，在不付款的情况下解密文件；相似的例子为2008年的蠕虫病毒Gpcode.AK，使用的是1024位的加密，相信这个加密程度太大，导致无法以分布式计算，或是发现漏洞的方式打破加密的内容。赛门铁克估计至少3%被感染的用户会采用付款方式解决。

2013年10月下旬，卡巴斯基报告其DNS陷阱已经创建完成，可以在部分域名用户接触到CryptoLocker时进行阻挡。

用户可以通过以下方法免疫CryptoLocker的攻击：

1.安装屏蔽硬盘和压缩文件的软件。

2.控制共享驱动器的权限，限制可以进行修改的用户。

3.定期备份数据到离线存储设备，如蓝光和DVD。网络连接的驱动器和云存储除外（Cryptolocker可以访问、加密存储在那里的文件）。

4.设定每台PC的软件管理工具，防止Cryptolocker和其他可疑程序访问某些关键目录。

5.设置计算机的组策略对象来限制注册表项（包含设置数据库），使Cryptolocker恶意软件无法进行加密。

如果有已经被加密的资料，可以尝试提交到一些安全专家建立的专门解密网站解密。