O ransomware visa ambientes corporativos e já acumula uma pequena lista de vítimas em todo o mundo. Cada executável do Babuk Locker analisado pelo site BleepingComputer foi personalizado para cada alvo, contendo uma extensão codificada, uma nota de resgate e um URL Tor. Uma vez executado, o ransomware encerra vários serviços e processos do Windows como servidores de banco de dados, servidores e clientes de email, navegadores e backups para iniciar o processo de encriptação.
