- kontaktuje się z serwerem kontrolowanym przez cyberprzestępców i zgłasza nowy zainfekowany komputer,
- uzyskuje z serwera klucz szyfrujący wygenerowany dla konkretnej ofiary,
- wysyła do serwera informacje o wersji językowej systemu operacyjnego
- zainfekowanej maszyny i otrzymuje treść żądania okupu w odpowiednim języku,
- zapewnia sobie start wraz z każdym uruchomieniem systemu operacyjnego,
- szyfruje pliki o określonych formatach (kilkadziesiąt rozszerzeń) na dyskach lokalnych i sieciowych (zaszyfrowane pliki posiadają rozszerzenie.locky)
Na koniec trojan wyświetla żądanie okupu od cyberprzestępców, kończy działanie i usuwa swój kod z zainfekowanego systemu. Żądanie okupu wyświetlane na komputerze ofiary zawiera odnośnik do strony przygotowanej przez cyberprzestępców, na które użytkownik może się dowiedzieć, w jaki sposób zapłacić okup (atakujący preferują walutę Bitcoin), by otrzymać program, który odszyfruje dane. Obecnie strona ta jest dostępna w ponad 20 językach. Eksperci z Kaspersky Lab zlokalizowali ofiary trojana Locky w 114 krajach. Najwięcej ataków odnotowano w takich krajach jak Niemcy, Francja, Kuwejt, Indie, Chiny, Afryka Południowa, Stany Zjednoczone, Włochy, Hiszpania i Meksyk. Próby infekcji wystąpiły także w Polsce.