Kabar buruk dari trojan ini adalah file yang dienkripsi tidak dapat dideskripsi lagi kecuali kita membayar uang tebusan senilai 300 USD, tetapi apa anda harus percaya dengan penjahat? Atau anda akan membayar penjahat tersebut? Yang jadi pertanyaan ketika anda membayarnya apakah data anda akan kembali? Mungkin bisa saja kembali atau bisa saja data anda akan hancur selama-lamanya, cukup mengerikan bukan.
Enkripsi merupakan proses mengamankan suatu informasi, merupakan proses untuk mengubah plainteks menjadi chiperteks. Plainteks sendiri adalah data atau pesan asli yang ingin dikirim, sedangkan Chiperteks adalah data hasil enkripsi. Sedangkan Deskripsi merupakan kebalikan dari Enkripsi, upaya pengolahan data menjadi sesuatu yang dimaksud untuk tujuan tertetentu agar dapat dimengerti oleh orang yang menerimanya.

Beberapa nama dalam attachment yang termasuk dalam kiriman dari cryptlolocker tersebut yaitu : bad.exe, Invoice-E_48F7B37FA8.pdf.exe, Invoice-E_7B962B6199.zip, STATEMNT-E_.pdf.exe, STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe, 051dd6888c6c6611342965b7f11402f8.exe, c-b4dba-1261-1389186301
051dd6888c6c6611342965b7f11402f8.exe, 051dd6888c6c6611342965b7f11402f8.PE_
STATEMNT-E__pdf_exe dan lain-lain yang mungkin dapat dirandom oleh malware tersebut.
Dilihat pada (gambar 3) siapa yang tidak penasaran untuk membuka attachmentnya, ketika anda membukanya trojan ini mulai berjalan pada sistem anda dan lama kelamaan data anda akan terenkripsi dengan menyimpan privat key anda di server cryptolocker. Privat key dan Publik key merupakan sebuah pasangan yang tidak dapat dipisahkan dan tidak dapat ditukar satu sama lainnya, dan masing-masing punya pasangannya hanya 1 di dunia ini, apa pun yang dienkripsi dengan publik key hanya dapat didekripsi oleh yang sesuai Private Key dan sebaliknya. Trojan ini dapat menyimpan privat key kita pada servernya. Untuk itu berhati-hatilah ketika anda menerima email dari yang anda tidak kenal.
Proses Trojan Ini Aktif
Munculnya file-file aneh yang tidak dikenal atau file acak yang letaknya di C:\User\<User>\AppData\local\<nama acak>.exe, berikut file yang dibuat malware ini : Hiijzzhrailjvj.exe, ls430.exe, Azpeaevfvionvph.exe, Htoerngdvedlh.exe, cryptolocker.ojovirus, nseseyecywodplrj.exe, Hfoqaxolcychlvjdb.exe, Ftchkqwwkzdnbvrdpz.exe, Writtenmotion, Clwsyuisytupjlz.exe, Qtkmuxdumhtpfjnvf.exe, Ofeumyzllxohjhxjf.exe dan beberapa nama acak lainnya.
Tanda trojan ini aktif adalah komputer anda terasa lambat dan desktop background anda akan berubah menjadi seperti gambar berikut :

Cara kerja trojan ini adalah ketika anda pertama kali terinfeksi CryptoLocker, itu akan membuat file dirinya sebagai nama file bernama acak ke root %AppData% atau %path LocalAppData%. Ini akan membuat salah satu entri autostart berikut dalam registri untuk memulai CryptoLocker ketika Anda login:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce "*CryptoLocker"
" (*) di depan nilai RunOnce menyebabkan CryptoLocker dapat berjalan dalam Safe Mode "
dan akan meng-enkripsi file yang berekstensi:
*.Odt = OpenOffice Writer, *.ods = Spreadsheet , *.odp = ODF Persentation, *.ODM = OverDriveMedia File, *.ODC = Office Data Connection, *.odb = Open Document Database, *.doc = Word 97-2003, *.docx = Microsoft Word, docm = Word Macro-Enable, *. wps = Works WordProcessor file, *. xls = Excel 97-2003, *.xlsx = Excel workbook, *.xlsm = Excel Macro-Enable, *. xlsb = Excel Binary Workbook, *. xlk = Excel Backup file, *.ppt = Powerpoint 97-2003 Persentation, *.pptx = Powerpoint Persentation , *.PPTM = Microsoft PowerPoint Macro-Enabled Presentation file, *.mdb = Microsoft Access databases, *. accdb = Microsoft acces file, *.pst = Personal Storage Table, *.DWG = File Autocad, *.dxf = Drawing Exchange Format File, *.wpd = Wors Perfect, *.rtf = Rich Text Format, *.WB2 = Corel Quattro Pro File, *.MDF = Disk Image, *.PSD = File AdobePhotoshop, *.pdf = File PDF, *.ai = adobe Ilustrator, *.indd = adobe InDesign Document, *. cdr = File CorelDraw, * jpg = File Gambar , * jpe = File Gambar, *.img = Image file,*.3fr = Raw Image, dll.
Apa yang harus anda lakukan ketika komputer anda terinfeksi malware ini?, hal yang harus pertama dilakukan adalah melepas kabel jaringan yang terhubung pada komputer anda, setelah itu anda dapat menghapus nilai registry malware ini namun ini tidak disarankan jika anda akan mengambil keputusan untuk membayar sejumlah uang tebusan yang diminta, tetapi apabila anda tidak ingin membayarnya anda bisa mengahapus file registry malware ini untuk menemukan metode lain.
Cara Kerja Trojan Tersebut
Langkah pertama trojan ini menyebar melalui spam email yang mengaku berasal dari bank atau perusahaan pengiriman, dan ketika anda membuka lampiran yang terlampir dalam email tersebut (sekilas dalam pandangan mata file tersebut berbentuk .ZIP atau .RAR dan ketika dibuka, kita menyangka file tersebut berbentuk .PDF namun tidak nyatanya file tersebut berbentuk .PDF.EXE) maka otomatis komputer anda akan terinfeksi.

Untuk fix registry bisa dilakukan dengan membuat script berikut :
[Version]
signature="$Chicago$"
Provider=vaksincom Oyee
[DefaultInstall]
DelReg=del
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, *CryptoLocker
Masukan script tersebut didalam notepad, kemudian simpan dengan nama “fixreg.inf” (Save As Type menjadi All Files agar tidak terjadi kesalahan). Kemudian jalankan fixreg.inf dengan klik kanan, kemudian pilih install.
Apabila anda menggunakan G Data Total Protection maka registry yang dibuat oleh CryptoLocker akan dihapus oleh G Data.
Catatan : Untuk mencegahnya bisa dilakukan instalasi G Data Total Protection untuk melindungi komputer anda dari malware tersebut.