Cryptolocker Mengancam Data Anda

30 Januari 2014
AWAS !!! Cryptolocker Mengancam Data Anda
Malware yang membuat data anda "Ngung Xi Yuk Coi"
Ingin mendapatkan perasaan seperti yang dialami oleh Mel Gibson dalam film Ransom ketika anaknya diculik dan penculiknya meminta tebusan ? Anda tidak perlu jauh-jauh ke Hollywood untuk merasakan hal ini. Ada satu malware yang bisa membuat anda mendapatkan pengalaman dimintai tebusan dengan tawanannya data komputer anda dienkripsi. Dan kabar buruknya, tidak ada orang di dunia ini yang bisa membantu anda mengembalikan data tersebut kecuali pembuat malware. Menurut pantauan Vaksincom, korban malware Cryptolocker ini mencapai ribuan orang termasuk di Indonesia dan cukup banyak yang memilih membayar ransom dan mendapatkan kembali datanya. Namun ada juga kasus dimana ransom sudah dibayarkan tetapi data gagal di dekripsi. Cryptolocker sudah menjalankan aksinya di Indonesia dan Vaksincom mendapatkan banyak laporan korban yang datanya dienkripsi oleh Cryptolocker.

Darimana Cryptolocker pertama kali masuk ke sistem komputer anda ? Mengapa anda bisa terinfeksi malware ini ? Jawabanya adalah anda menerima sebuah email yang anda tidak dikenal lalu anda membukanya dan didalam email tersebut terdapat sebuah lampiran yang berisikan malware Cryptolocker ini, contoh email yang berisikan trojan ini seperti gambar berikut : (lihat gambar 1)
20140130I_cryptolocker07
 Gambar 1. Malware Cryptolocker datang sebagai lampiran email dengan ekstensi .zip 
 Beberapa alternatif nama dalam lampiran yang termasuk dalam kiriman dari cryptolocker tersebut adalah :
  •     bad.exe
  •     Invoice-E_48F7B37FA8.pdf.exe
  •     Invoice-E_7B962B6199.zip
  •     STATEMNT-E_.pdf.exe
  •     STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe
  •     051dd6888c6c6611342965b7f11402f8.exe
  •     c-b4dba-1261-1389186301051dd6888c6c6611342965b7f11402f8.exe
  •     051dd6888c6c6611342965b7f11402f8.PE_STATEMNT-E__pdf_exe
Dan nama acak lain.

Menurut email yang dikirimkan, ada tagihan yang belum dibayar dimana email tersebut melampirkan bukti tagihan tersebut. Jika korbannya tertipu untuk untuk membuka lampiran tersebut maka secara diam-diam Cryptolocker akan menginfeksi komputer korbannya dan secara diam-diam menghubungi server yang telah dipersiapkan yang akan membuat 2 buah key, private key dan public key. Private key yang akan disimpan di server dan Public key akan dikirimkan ke komputer terinfeksi malware untuk digunakan mengenkrip semua dokumen di komputer tersebut. Satu-satunya kunci untuk membuka kembali data yang dienkripsi dengan Public key tadi adalah Private key pasangannya yang hanya diketahui oleh server pembuat key.

Cryptolocker terdeteksi oleh G Data Antivirus sebagai Trojan.GenericKD.1491946 dan Trojan.GenericKD.1492947 (lihat gambar 2)
20140130I_cryptolocker11
 Gambar 2, G Data Antivirus mendeteksi cryptolocker sebagai Trojan.GenericKD.1491947 dan 1491946
Trojan.GenericKD.1491947 menyebar melalui lampiran email dengan contoh nama : Invoice-E_7B962B6199.zip (69kb) dan ketika dibuka file malwarenya akan memalsukan diri sebagai file Adobe Acrobat, namun sebenarnya ia adalah file executable .exe karena menggunakan trik extensi ganda .pdf.exe dengan tujuan mengelabui korbannya karena menggunakan icon pdf. Contoh nama file setelah di unzip adalah : STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe. (lihat gambar 3)
 Gambar 3, Ekstensi ganda dengan icon Adobe Acrobat palsu dimanfaatkan sebagai rekayasa sosial
20140130I_cryptolocker13
Sedangkan varian Trojan.GenericKD.1492946 ini jika sudah menginfeksi pada sistem akan mengaktifkan dirinya sebagai Ofeumyzllxohjhxjf.exe (751kb) dan ia merubah menjadi file system sehingga file ini bersembunyi dan tidak dapat dihapus (lihat gambar 4)
20140130I_cryptolocker14
 Gambar 4. File malware Ofeumyzllxohjhxjf.exe tidak dapat di hapus karena diproteksi
Kabar buruk dari trojan ini adalah file yang dienkripsi tidak dapat dideskripsi lagi kecuali kita membayar uang tebusan senilai 300 USD, dalam banyak kasus data akan terdekripsi secara otomatis setelah melakukan pembayaran ransom tetapi perlu anda ketahui bahwa pembayaran ransom tidak memberikan jaminan bahwa data anda akan kembali karena anda tidak bisa berhubungan dengna pembuat malware dan hanya mengikuti perintah pembayaran ransom tanpa jaminan apapun.

Enkripsi merupakan proses mengamankan suatu informasi, merupakan proses untuk mengubah plainteks menjadi chiperteks. Plainteks sendiri adalah data atau pesan asli yang ingin dikirim, sedangkan chiperteks adalah data hasil enkripsi. Sedangkan deskripsi merupakan kebalikan dari enkripsi, upaya pengolahan data menjadi sesuatu yang dimaksud untuk tujuan tertetentu agar dapat dimengerti oleh orang yang menerimanya.

Ciri Komputer Terinfeksi
Pada umumnya, korban akan terlambat ketika mengetahui bahwa komputernya terinfeksi Cryptolocker ketika mendapatkan permintaan tebusan senilai 300 USD yang muncul pada pop-up disistem komputernya, contohnya seperti gambar 5 di bawah ini.
20140130I_cryptolocker01
 Gambar 5. Popup yang muncul pada sistem windows anda ketika proses enkripsi selesai
Proses Trojan Ini Aktif
Munculnya file-file aneh yang tidak dikenal atau file acak yang letaknya di C:\User\<User>\AppData\local\<nama acak>.exe, berikut file yang dibuat malware ini :
  •     Hiijzzhrailjvj.exe
  •     ls430.exe
  •     Azpeaevfvionvph.exe
  •     Htoerngdvedlh.exe
  •     cryptolocker.ojovirus
Selain pop up yang muncul di atas, untuk memastikan korbannya menyadari kalau datanya sudah disandera, Cryptolocker akan mengubah wallpaper komputer menjadi (lihat gambar 6) :
20140130I_cryptolocker16
 Gambar 6. Background desktop yang diganti oleh malware tersebut
Jika anda ingin membayar tebusan, anda akan dibimbing ke layar berikut untuk melakukan pembayaran seperti gambar 7 di bawah ini :
20140130I_cryptolocker10
 Gambar 7. Popup meminta kita untuk membayar dalam bentuk BitCoin ataupun MoneyPak
 Berikut contoh display pembayaran bitcoin dan MoneyPak (lihat gambar 8 dan 9)
20140130I_cryptolocker03
 Gambar 8, Permintaan pembayaran melalui bitcoin dengan meminta 0,6 BTC dan meminta dikirim ke alamat yang dituju.
20140130I_cryptolocker06
 Gambar 9, Permintaan pembayaran melalui MoneyPak dengan meminta 300 USD.
Cara Kerja Trojan
Ketika anda pertama kali terinfeksi Cryptolocker, itu akan membuat file dirinya sebagai nama file bernama acak ke root %AppData% atau %path LocalAppData%. Ini akan membuat salah satu entri autostart berikut dalam registri untuk memulai Cryptolocker ketika Anda login:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce "*CryptoLocker"

" (*) di depan nilai RunOnce menyebabkan CryptoLocker dapat berjalan dalam Safe Mode "

sedangkan file yang akan dienkripsinya adalah :
  •     *.Odt = OpenOffice Writer
  •     *.ods = Spreadsheet
  •     *.odp = ODF Persentation
  •     *.ODM = OverDriveMedia File
  •     *.ODC = Office Data Connection
  •     *.odb = Open Document Database
  •     *.doc = Word 97-2003
  •     *.docx = Microsoft Word
  •     docm = Word Macro-Enable
  •     *. wps = Works WordProcessor file
  •     *. xls = Excel 97-2003
  •     *.xlsx = Excel workbook
  •     *.xlsm = Excel Macro-Enable
  •     *. xlsb = Excel Binary Workbook
  •     *. xlk = Excel Backup file
  •     *.ppt = Powerpoint 97-2003 Persentation
  •     *.pptx = Powerpoint Persentation
  •     *.PPTM = Microsoft PowerPoint Macro-Enabled Presentation file
  •     *.mdb = Microsoft Access databases
  •     *. accdb = Microsoft acces file
  •     *.pst = Personal Storage Table
  •     *.DWG = File Autocad
  •     *.dxf = Drawing Exchange Format File
  •     *.wpd = Word Perfect
  •     *.rtf = Rich Text Format
  •     *.WB2 = Corel Quattro Pro File
  •     *.MDF = Disk Image
  •     *.PSD = File AdobePhotoshop
  •     *.pdf = File PDF
  •     *.ai = adobe Ilustrator
  •     *.indd = adobe InDesign Document
  •     *. cdr = File CorelDraw
  •     * jpg, *.jpe, *.img = File Gambar
  •     *.3fr = Raw Image
Langkah pertama trojan ini menyebar melalui spam email yang mengaku berasal dari bank atau perusahaan pengiriman, dan ketika anda membuka lampiran yang terlampir dalam email tersebut (sekilas dalam pandangan mata file tersebut berbentuk .ZIP atau .RAR dan ketika dibuka, kita menyangka file tersebut berbentuk .PDF namun tidak nyatanya file tersebut berbentuk .PDF.EXE) maka otomatis komputer anda akan terinfeksi.

Hasil enkripsi
Jika data anda sudah berhasil dienkripsi oleh Cryptolocker, satu-satunya cara adalah mendekripsi menggunakan Private Key yang hanya dimiliki oleh server host yang dihubungi Cryptolocker. Tidak ada cara untuk mengembalikan data anda kecuali dari backup yang anda miliki. Gambar 10-12 dibawah ini memberikan sedikit gambaran file yang di enkripsi oleh Cryptolocker hasil pengetesan laboratorium antivirus Vaksincom :
20140130I_cryptolocker02
 Gambar 10, File jpg tidak dapat ditampilkan karena suda di-enksipsi
20140130I_cryptolocker08
 Gambar 11, File *.docx tidak dapat dibuka setelah terenkripsi
20140130I_cryptolocker15
 Gambar 12, File *.doc yang dibuka ketika sudah dienkripsi
 Cara Pencegahan dan Pembersihan
  • Langkah utama untuk mencegah menjadi korban enkripsi data oleh Cryptolocker adalah melakukan backup data secara berkala dan disimpan secara offline. Hal ini penting menjadi perhatian karena Cryptolocker juga mengenkripsi data mapped drive di jaringan.
  • Jika anda menggunakan antivirus yang terupdate seperti G Data Antivirus, malware ini akan bisa di deteksi. Namun Vaksincom menyarankan anda untuk TETAP melakukan backup secara teratur atas data penting anda seperti poin 1 di atas karena ada kemungkinan munculnya varian baru atau aksi enkripsi data dari jaringan.
Untuk membersihkan komputer yang terinfeksi malware ini ikuti langkah-langkah di bawah ini :
  • Gunakan antivirus G Data Total Protection dengan update virus database terbaru, otomatis G Data mendeteksi adanya malware ini. Untuk link download dan manual instalasi silahkan kunjungi http://www.virusicu.com/store/totalprotection.php
  • Setelah selesai instalasi lakukan update definisi antivirus. G Data dengan teknologi Behaviour Monitoring secara otomatis akan mendeteksi dan membasmi Cryptolocker dan variannya (lihat gambar 13)
20140130I_cryptolocker04
 Gambar 13. Behavior Monitoring G Data Total Protection mendeteksi malware Cryptolocker yang aktif pada sistem kita contoh "kjkkkimaztdmphlztv.exe"
  • Jika anda ingin melakukan scan pada komputer anda, buka Windows Explorer lalu klik kanan pada drive yang ingin di scan [C:} dan pilih [Check for viruses G Data TotalProtection 2014] (lihat gambar 14). Klik [Ok] jika anda mendapatkan dialog box UAC User Account Control.
20140130I_cryptolocker05
 Gambar 14, Klik kanan pada file / folder / drive yang ingin anda scan dengan G Data dan pilih [Check for viruses]
Hasil scan oleh G Data TotalProtection akan ditampilkan seperti pada gambar 15 di bawah ini.
20140130I_cryptolocker12
 Gambar 15. Scaning menggunakan G Data Total Protection yang mendeteksi malware yang menginfeksi komputer anda
Web protection G Data juga akan melindungi dari aksi Cryptolocker yang akan mengunduh malware-malware lain dan menjalankannya di komputer anda. (lihat gambar 16)
20140130I_cryptolocker09
 Gambar 16. Web Protection G Data membatalkan aksi Cryptolocker mengunduh malware lain.
Apabila anda menggunakan G Data Total Protection maka registri yang dibuat oleh CryptoLocker akan dihapus secara otomatis oleh G Data.

Jika anda bukan pengguna G Data Antivirus ikuti langkah di bawah ini untuk membersihkan registri :

Copy script di bawah ini ke Notepad:

[Version]
signature="$Chicago$"
Provider=vaksincom Oyee 2014
[DefaultInstall]
DelReg=del
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, *CryptoLocker


Simpan dengan nama “fixreg.inf” (Save As Type menjadi All Files agar tidak terjadi kesalahan). Kemudian jalankan fixreg.inf dengan klik kanan, kemudian pilih install.
Salam,

Fazar Dwi Herdiana
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: