Die Software generiert sogenannte Lua-Skripte, die plattformübergreifend auf Windows, Linux und macOS funktionieren. Je nach System durchsucht PromptLock lokale Dateien, analysiert sie und entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien ist offenbar bereits vorbereitet, aber noch nicht aktiv.

Für die Verschlüsselung verwendet PromptLock den SPECK-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache Golang. Erste Varianten sind auf der Analyseplattform VirusTotal aufgetaucht. Zwar geht ESET derzeit davon aus, dass es sich um ein Proof-of-Concept handelt – also um eine Art Machbarkeitsstudie – doch die Gefahr sei real und beschreibt das Aufkommen von Werkzeugen wie PromptLock als eine bedeutende Veränderung in der Cyber-Bedrohungslandschaft. 

Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, das lokal über eine API angesteuert wird. Die KI erstellt die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur Cloud. Selbst die Bitcoin-Adresse für die Erpressung ist im Prompt eingebaut.