Az ügyfélnél nincs. Nálunk van, de most próbáltam, és átjött rajta. A sandboxom egy NAT-olt VirtualBox VM, lefirewall-ozva, hogy a helyi háló irányába csak a DNS kéréseket küldhessen. A HTTP kéréseket a transparent proxy-n futó antivirus ellenőrzi (és engedi át a mellékelt ábra szerint).
A dropper által letöltött EXE maga a CTB-Locker. A dropper minden indítás után más lesz a fájl neve, mérete és az ikonja is.