Ciri-ciri perangkat perusak yang mencuri data

Tidak meninggalkan jejak apa pun
* Perangkat perusak seperti ini biasanya disimpan di tembolok (cache) yang dibersihkan secara berkala.
* Dapat dipasang melalui ‘pengunduhan tanpa pengetahuan pengguna’ (drive-by download).
* Perangkat perusak seperti ini dan situs web yang menginduk (host) perangkat perusak tersebut biasanya hidup sementara atau berupa tipuan.

Seringkali berubah dan bertambah fungsinya
* Hal ini mempersulit perangkat lunak pencegah virus untuk melacak sifat muatan (payload) terakhir karena rangkaian unsur-unsur perangkat perusak berubah terus menerus.
* Perangkat perusak seperti ini menggunakan aras penyandian aman berkas ganda (multiple file encryption levels).

Menghalangi Sistem Pelacak Penerobosan (Intrusion Detection Systems [IDS]) sesudah pemasangan yang berhasil
* Tidak ada keanehan dengan jaringan yang dapat dilihat.
* Perangkat perusak seperti ini bersembunyi di dalam lalu lintas web.
* Lebih siluman dalam pemakaian lalu lintas dan sumber daya.

Menghalangi penyandian aman cakram (disk encryption)
* Data dicuri sewaktu pengawasandian aman (decryption) dan penayangan.
* Perangkat perusak seperti ini dapat merekam ketikan, kata sandi dan cuplikan layar (screenshot).

Menghalangi Pencegahan Hilangnya Data (Data Loss Prevention [DLP])
* Hal ini menyebabkan pelindung data untuk tidak berjalan dengan lancar dan mengakibatkan ketidaksempurnaan dalam pengaitkataan (tagging) metadata, tidak semuanya dikaitkatakan.
* Pengacau dapat menggunakan penyandian aman untuk memangkal (port) data.