Foto: ScreenshotKomik Toon Jakarta - Penamaan malware kerap membuat kita tersenyum alasannya yaitu kreativitas pembuat malware yang kerap menyelipkan kata tertentu di tubuh malware atau keisengan analis malware yang memberi nama unik. Katakan virus lokal rontokbro yang bekerjsama berasal dari spesies Elang Jawa Brontok yang memang sengaja diselipkan oleh pembuatnya, namun analis pertama malware ini tidak mau mengikuti maunya pembuat malware dan membalik urutan namanya sehingga menjadi rontrokbro.
Ada lagi malware gnurbulf yang bekerjsama merupakan pembacaan terbalik dari Flu Burung yang sedang populer ketika itu. Era ranwomare ini juga terjadi hal yang sama dimana salah satu ransomware yang ngetop di awal tahun 2016 menamakan dirinya dengan Locky, mungkin maksudnya yaitu pengunci dalam bahasa Inggris alasannya yaitu ransomware ini memang melaksanakan agresi jahat mengunci (mengenkripsi) file korbannya dan meminta uang tebusan untuk dekripsi. Selain itu, file yang telah dienkripsi akan mendapatkan ekstensi .locky untuk membedakan dirinya dengan ransomware lain. Namun alasannya yaitu ketika munculnya Locky bersamaan dengan beredarnya film Thor, maka banyak yang menyebut ransomware ini dengan nama Loki, abjad antagonis adik tiri Thor.
Mungkin alasannya yaitu nama ini mudah diingat, maka pembuat malware memutuskan untuk mengadopsi penamaan ini untuk varian malware penerus locky dan kali ini ejaan nama yang digunakan persis sama dengan tuhan Asgard dalam komik Marvel dan muncullah varian locky berikutnya yang akan mengganti data korban yang dienkripsinya dengan ekstensi .odin yang merupakan ayah Thor dan Loki.
Ransomware Odin inipun merajalela menggantikan Locky dan merajai tangga ransomware di kuartal 3 tahun 2016 bersanding dengan Cerber. Setleah menjalankan aksinya beberapa bulan, kembali muncul varian penerus Locky dan setelah menggunakan ekstensi .odin, file yang menjadi korban eknripsinya akan diganti menjadi .thor. Semoga dimasa depan kita tidak mendapatkan ransomware .spiderman atau .batman. Untuk informasi lebih lengkap perihal ransomware dari Asgard dan bahaya ransomware teranyar Thor silahkan ikuti artikel di bawah ini.
 Gambar 1, Contoh file lampiran Locky ransomware |
Anda tentu masih ingat dengan Locky ransomware yang muncul pertama kali di bulan Februari 2016, di ketika semua varian ransomware akan menggunakan file aplikasi (.exe) dan java script (.js) untuk mengelabui user biar dapat menginfeksi komputer, Locky ransomware selain menggunakan java script (.js) juga akan menggunakan cara lain dengan memanfaatkan celah macro yang ada pada aplikasi Microsoft Word dengan menyertakan sebuah file dalam bentuk .DOC atau .DOCM yang berisi sederetan isyarat untuk mendownload file induk utama Locky ransomware, bekerjsama trik ini mempunyai kelemahan alasannya yaitu harus mengaktifkan macro dari aplikasi Microsoft Word alasannya yaitu secara default Microsoft Word akan mematikan macro, tetapi hal ini tidak menjadi problem alasannya yaitu dengan sedikit trik yang sudah di siapkan maka Locky ransomware akan dengan mudah menginfeksi komputer korban. (lihat gambar 1 dan 2)
 Gambar 1, Contoh file lampiran Locky ransomware |
 Gambar 2, Notifikasi untuk mengaktifkan macro Microsoft Word |
Hal yang cukup menarik dan membedakan dengan ransomware sebelumnya yaitu Locky ransomware mempunyai kemampuan untuk melaksanakan enkripsi file tidak saja pada folder yang di mapping tetapi mempunyai kemampuan untuk melaksanakan enkrispsi pada folder yang di share (dengan full access) dan akan merubah ekstensi setiap file yang di enkripsi menjadi .locky. (lihat gambar 3)
 Gambar 3, file yang di enkripsi oleh Locky ransomware |
Locky ransomware (locky) akan membuat file _Locky_recover_instructions.txt. di setiap folder yang di enkripsi yang berisi cara mendapatkan kembali file yang sudah di enkripsi. (lihat gambar 4)
 Gambar 4, informasi tebusan Locky ransomware (locky) |
Setelah menjalankan aksinya beberapa bulan dan mulai terdeteksi oleh pembuat antivirus, Locky ransomware kembali mengeluarkan varian gres dengan menggunakan metode yang sama dengan varian sebelumnya, tetapi kali ini Locky ransomware akan memanfaatkan fitur macro yang ada pada aplikasi Microsoft Excel dengan menyertakan sebuah file yang mempunyai ekstensi .XLS pada email SPAM yang di kirim. (lihat gambar 5)
 Gambar 5, Contoh email yang di kirimkan oleh Odin ransomware |
Mengeksploitasi file .dll
Jika pada varian sebelumnya Locky ransomware akan mendownload file aplikasi (.exe) sebagai file utama untuk melaksanakan serangkaian agresi termasuk untuk enkripsi file, maka Odin akan menggunakan file .dll dengan memanfaatkan file rundll32.exe untuk menjalankan script yang ada di dalamnya dengan perintah C:WindowsSystem32rundll32.exe %lokasi file dll ransomware% (contoh: C:WindowsSystem32rundll32.exe C:User%User% AppDataLocalTempvilarons.dll,qwerty), kalau kita menggunakan aplikasi task manager atau tools sejenis maka akan muncul proses dengan nama rundll32.exe dan kalau anda lihat properties dari proses tersebut dapat di lihat nama file dan lokasi file dll dari ransomware tersebut (biasanya file dll tersebut akan di simpan di folder %TEMP%). (lihat gambar 7 dan 8)
⦁ C:UsersVaksinAppDataLocalTemp (Windows Vista/7/8/10)
⦁ C:Document and Settings %User% Local Settings Temp (Windows XP/2003)
 Gambar 7, Task Manager melihat proses Odin ransomware |
| Gambar 8, Lokasi file DLL Odi ransomware |
Odin juga mempunyai kemampuan untuk untuk melaksanakan enkripsi file pada folder yang di mapping maupun di share full access dan akan merubah ekstensi setiap file yang di enkripsi menjadi .odin (lihat gambar 9)
 Gambar 9, File yang di enkripsi oleh Odin ransomware |
 Gambar 10, Permintaan ransom Odin |
Locky ransomware part III, Thor
Setelah ayah tiri Loki yang dijadikan sebagai nama ekstensi file di kuartal 3 2016, kini giliran suadara tiri Loki yang lebih terkenal dijadikan sebagai nama ekstensi file yang di enkripsi dan muncullah Thor ransomware di kuartal 4 206.
Thor ransomware juga memanfaatkan email sebagai media penyebaran nya dengan menyertakan sebuah lampiran dalam bentuk file .JS atau .VBS yang sudah terkompresi (RAR/ZIP).
Isi email yang dikirimkan berbeda-beda dan biasannya berisi informasi tagihan dengan melampirkan lampiran dengan nama yang berbeda-beda. (lihat gambar 11, 12 dan 13)
 Foto: Alfons Tanujaya |
 Foto: Alfons Tanujaya |
 Foto: Alfons Tanujaya |
File yang di sertakan pada email bukanlah file induk ransomware melainkan sebuah trojan yang bertugas untuk mengunduh file utama (dll file dengan nama acak) pada alamat server (website) yang sudah dipersiapkan terlebih dahulu, file yang berhasil diunduh akan di simpan ke folder %Temp% lalu dijalankan secara otomatis, file utama inilah yang akan melaksanakan serangkaian tindakan termasuk untuk melaksanakan proses enkripsi terhadap file yang mempunyai ekstensi yang sudah ditentukan baik pada komputer korban maupun pada folder yang di share/mapping full access dan akan mengganti ekstensi file menjadi .thor sebagai identitas dirinya. Jika anda menggunakan antivirus yang terupdate dan dapat mengidentifikasi bahaya ransomware dengan baik, maka proses tersebut dapat dihentikan (lihat gambar 14). Namun alasannya yaitu cepatnya pergantian varian ransomware, Vaksincom menyarankan anda untuk melaksanakan backup atas semua data penting anda dan simpan secara offline atau gunakan cloud storage yang memiliki kemudahan backup versi dokumen secara otomatis.
 Foto: Alfons Tanujaya |
Lokasi folder %TEMP% ini berbeda-beda:
⦁ C:Users%user%AppDataLocalTemp (Windows Vista/7/8/10)
⦁ C:DOCUMENT AND SETTINGS%User% LOCAL SETTINGSTemp (Windows XP/2003)
Ransomware hanya aktif pada komputer korban
Menurut pengetesan lab Vaksincom, ketika ini semua varian Locky ransomware hanya aktif pada komputer korban dan tidak dapat berbagi infeksinya kekomputer lain dalam jaringan, namun ia bisa melaksanakan enkripsi file yang ada pada semua folder / file di jaringan yang memperlihatkan hak kanal full.
Memulihkan file yang dienkripsi
Untuk mengembalikan file yang sudah di enkripsi, Locky ransomware (thor) akan membuat file (dengan ekstensi .bmp/.txt/.html, teladan nya _%x%_WHAT_is.html) yang akan di simpan di setiap folder yang di enkripsi, yang berisi informasi untuk melaksanakan tebusan sebesar 4 BTC untuk mendapatkan isyarat dan tools untuk memulihkan file yang sudah di enkripsi. (lihat gambar 15 dan 16)
 Foto: Alfons Tanujaya |
 Foto: Alfons Tanujaya |
Sampai ketika ini belum ada tools yang dapat memulihkan file yang sudah di enkripsi oleh Locky ransomware (locky/odin/thor) tanpa membayar tebusan yang diminta.
Tips melindung komputer dari Locky ransomware
⦁ Backup data anda secara teratur dan simpan secara offline.
⦁ Gunakan jasa cloud storage yang memiliki fitur backup versi file secar otomatis untuk file yang sering anda kanal atau gunakan.
⦁ Pasang antivirus di semua komputer yang terhubung dengan jaringan dan internet dan pastikan antivirus yang di pasang berjalan dengan baik dan selalu up-to-date.
⦁ Update security patch Windows dan aplikasi lain yang di install pada komputer anda. Gunakan aktivitas antivirus yang memperlihatkan fitur Exploit Protection guna menghindari eksploitasi yang akan menimbulkan instalasi ransomware.
⦁ Share pada folder yang di perlukan saja dan batasi user yang dapat mengakses folder tersebut. Jika memungkinkan tidak menerapkan share full akses
⦁ Matikan/disable fitur macro pada aplikasi Microsoft Word Document dan Microsoft Excel dan ekstra hati-hati kalau diminta mengaktifkan macro.
⦁ Hati-hati pada ketika mendapatkan email yang mengandung lampiran yang meminta anda untuk mengaktifkan fitur macro, .zip. FIle pengunduh ransomware selain datang dalam file MS Office juga datang dalam bentuk .JS dan .VBS yang dikompres dalam bentuk .zip.
*) Adang Juhar Taufik yaitu peneliti dari Vaksincom
Sumber Komik Toon.com
0 komentar:
Posting Komentar