A TorrentLocker egy jól ismert tulajdonsága a letöltés, a zsarolás szövege, illetve a fizetési módok lokalizálása: az áldozatok a saját nyelvükön kapnak információt, és saját valutájukban jelenik meg a váltságdíj összege. "A TorrentLocker mögött lévő csapat úgy tűnik, még mindig működik. Tökéletesítették taktikáikat és továbbfejlesztették a zsarolóvírust, miközben igyekeztek elkerülni a figyelmet" - mondta Marc-Etienne M. Léveillé, az ESET zsarolóvírus kutatója.
A bűnözők által a TorrentLockeren elvégzett friss fejlesztések az internethasználókat védő mechanizmusokat igyekeznek gyengíteni, ehhez például módosították a kártevő és a vezérlőszerver kapcsolatát, a C&C szerver védelmét a titkosítás egy további rétegével, és erősítették a felhasználók összezavarását, illetve az áldozatok fájljainak titkosítási folyamatát.
Az először 2013. őszén megjelent CryptoLockerként is ismert zsarolóvírus egy másik újdonsága, hogy hozzáadtak egy olyan scriptet, melynek segítségével a futtatható kártevő mindig az éppen aktuális legfrissebb verziójához vezet.
A spam üzenetben lévő link egy PHP scripthez vezet, amely egy feltört szerveren van. Ez a script leellenőrzi, hogy a látogató a célországból érkezett, és ha igen, átirányítja arra az oldalra, ahonnan a kártevő következő eleme letöltődik. Ellenkező esetben a vírus a Google oldalára irányítja a felhasználót. A malware-t és a kampányait elemezve az ESET kutatói felfedezték, hogy 22 ország kapta meg a zsaroló vagy fizetői oldal lokalizált verzióját. Azonban ezek közül 7 országot (Franciaország, Japán, Martinique, Portugália, a Koreai Köztársaság, Tajvan és Thaiföld) eddig nem sújtott jelentős TorrentLocker spam kampány sem.
Az ESET kutatói arra is felfigyeltek, hogy a TorrentLocker nem titkosítja bizonyos országok - Kína, Oroszország, Ukrajna és az Egyesült Államok - felhasználóinak adatait.
