Respuesta corta:
Necesitará conectividad a Internet brevemente, luego cifrará todo, incluso si se desconecta.
Respuesta larga
Tan pronto como se ejecute CryptoWall, generará una clave pública y privada RSA aleatorias, se conectará a uno o más servidores de control y cargará la clave privada junto con cierta información sobre el sistema, como la versión del sistema operativo, la IP pública y ubicación. Entonces se puede ejecutar desconectado.
Después de generar las claves, el malware procederá a cifrar cada archivo que admite. Algunas variantes mantendrán el original intacto durante la fase de cifrado, y eliminarán todos los archivos originales después de cifrarlos todos. Algunas variantes cifrarán y eliminarán el original en una sola pasada.
El servidor mantendrá la clave privada por algún tiempo, y tendrá que cargar una muestra de un archivo cifrado en ellos. Le devolverán la clave privada que necesitará para descifrar los archivos.
Probablemente no tenga posibilidad de detener el proceso de cifrado una vez que haya comenzado. CryptoWall emplea una serie de defensas, y si te atrapa, se termina. El cifrado también está bien hecho, por lo que las posibilidades de forzamiento bruto son casi nulas. Las copias de seguridad no le guardarán si su unidad de copia de seguridad está conectada a la PC todo el tiempo, ya que CryptoWall también cifrará sus copias de seguridad.