TROJ_CRILOCK.YMO

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %AppDataLocal%\{random filename}.exe

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
CryptoLocker = "%AppDataLocal%\{random filename}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*CryptoLocker = "%AppDataLocal%\{random filename}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\CryptoLocker_0388
VersionInfo = "{hex values}"

HKEY_CURRENT_USER\Software\CryptoLocker_0388
PublicKey = "{hex values}"

HKEY_CURRENT_USER\Software\CryptoLocker_0388
Wallpaper = "{hex values}"

HKEY_CURRENT_USER\Software\CryptoLocker_0388\
Files
{path and filename of encrypted files} = "{hex values}"

HKEY_CLASSES_ROOT\{random characters}\shell\
open\command
(Default) = ""%AppDataLocal%\{random filename.exe}" - "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
{random characters}\shell\open\
command
(Default) = ""%AppDataLocal%\{random filename.exe}" - "%1" %*"

作成活動

マルウェアは、以下のファイルを作成します。

• %Desktop%\{random filename}.bmp

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\デスクトップ" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {random character}.ru
• {random character}.info
• {random character}.co.uk
• {random character}.biz
• {random character}.org
• {random character}.com
• {random character}.net

マルウェアは、実行後、自身を削除します。