TROJ_CRILOCK.YMO

Este malware se elimina tras la ejecución.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %AppDataLocal%\{random filename}.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CryptoLocker = "%AppDataLocal%\{random filename}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*CryptoLocker = "%AppDataLocal%\{random filename}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\CryptoLocker_0388
VersionInfo = "{hex values}"

HKEY_CURRENT_USER\Software\CryptoLocker_0388
PublicKey = "{hex values}"

HKEY_CURRENT_USER\Software\CryptoLocker_0388
Wallpaper = "{hex values}"

HKEY_CURRENT_USER\Software\CryptoLocker_0388\
Files
{path and filename of encrypted files} = "{hex values}"

HKEY_CLASSES_ROOT\{random characters}\shell\
open\command
(Default) = ""%AppDataLocal%\{random filename.exe}" - "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
{random characters}\shell\open\
command
(Default) = ""%AppDataLocal%\{random filename.exe}" - "%1" %*"

Rutina de infiltración

Infiltra los archivos siguientes:

• %Desktop%\{random filename}.bmp

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Otros detalles

Este malware se elimina tras la ejecución.