CryptoLocker (Trojan.GenericKD.1492946) 1/3

10 Februari 2014
CryptoLocker (Trojan.GenericKD.1492946) 1/3
20140210I_cryptolockerenkripsi30
Jika di dunia nyata kado awal tahun adalah hujan dan banjir air, maka di dunia maya selain Flappy Bird yang ngetop juga diramaikan dengan adalah munculnya virus CryptoLocker (Trojan.GenericKD.1492946) dengan mengenkripsi setiap data yang di jumpai baik yang berada di komputer lokal maupun yang berada di folder/drive yang di mapping (dengan akses Full control). Oleh karena itu sebelum terjadi hal yang tidak di inginkan sebaiknya kita waspada dengan melakukan pencegahan terhadap kemungkinan tersebut. Seperti apa bentuk pencegannya?? Silahkan anda baca artikel ini sampai selesai J.

Sebagai informasi, Virus CryptoLocker sebenarnya sudah muncul sejak bulan September 2013 pertama kali muncul di Ukraina dan dari pantauan Vaksincom Cryptolocker sudah menjadi Clear and Present Danger alias ancaman jelas dan nyata bagi pengguna komputer di Indonesia.

Jika Arjuna memiliki senjata pamungkas Pasopati yang hanya bisa digunakan satu kali saja untuk mengalahkan Karna, maka Cryptolocker memiliki senjata pamungkas yang tidak kalah sakti dan bisa digunakan berkali-kali untuk mengenkripsi data komputer korbannya. Senata tersebut adalah enkripsi RSA 2048 bit.

Cryptolocker biasanya akan datang melalui email dalam bentuk lampiran yang terkompresi  (ZIP/RAR) di mana di dalam file yang terkompresi berisi sebuah file dengan nama acak dan mempunyai ekstensi ganda, ia akan memanfaatkan icon PDF dengan ekstensi PDF.EXE.

Secara default ekstensi file akan di sembunyikan oleh Windows, hal inilah yang di manfaatkan oleh virus untuk mengelabui user sehingga file yang terlihat seolah-olah sebuah file PDF. (lihat gambar 1)
20140210I_cryptolockerenkripsi05
Gambar 1, Setting default Windows untuk menyembunyikan ekstensi file
20140210I_cryptolockerenkripsi07
Gambar 2, Email yang di kirimkan oleh virus CryptoLocker
20140210I_cryptolockerenkripsi08
Gambar 3, Contoh file lampiran CryptoLocker yang di kirim melalui email
File lampiran email tersebut akan mempunyai ciri-ciri:
  •     Nama file acak
  •     Mempunyai ekstensi ganda (PDF.EXE)
  •     Menggunakan icon PDF
  •     Ukuran file 100 KB (sesudah di extract) atau 70 KB (sebelum di extract)
 Bagi para pelanggan Vaksincom, dengan update terbaru G Data sudah dapat mendeteksi virus ini dengan baik dengan nama Trojan.GenericKD.1492946 (lihat gambar4).
20140210I_cryptolockerenkripsi13
Gambar 4, Antivirus G Data mendeteksi virus CryptoLocker
File induk Cryptolocker

Jika berhasil menginfeksi komputer, ia akan membuat file induk dengan nama acak (contohnya: Mrrmkokislmfndtxl.exe ) yang akan di simpan di direktori berikut dengan ukuran file sebesar 751 KB

  •     Windows XP [C:\Document and Settings\%users%\Local Settings\Application Data\]
  •     Windows Vista/7/8 [C:\Users\%Users%\AppData\Local\]
Catatan: %Users% ini adalah user account yang di gunakan untuk login Windows
20140210I_cryptolockerenkripsi11
Gambar 5, File induk virus Cryptolocker (Trojan.GenericKD.1492946) 
Registri Windows
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer di nyalakan, ia akan membuat string pada registri berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
  • HKEY_USERS\S-1-5-21-1715567821-839522115-1836129859-1003\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
  • HKEY_USERS\S-1-5-21-1715567821-839522115-1836129859-1003\Software\Microsoft\Windows\CurrentVersion\Run
  • CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
Catatan: %Users% ini adalah user account yang di gunakan untuk login Windows

Untuk mempertahan kan eksistensinya, ia akan membuat string pada registry berikut agar dapat tetap aktif walaupun komputer booting pada mode safe mode

  •     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
Download virus lain (ZBot/Dropped:Trojan.Agent.ZDFA)
Jika komputer yang terinfeksi komputer terkoneksi internet, ia akan mengunduh virus lain dengan nama file acak yang akan di simpan ke dalam direktori yang sudah ditentukan dengan ukuran sebesar 101 Kb atau 54 KB.
  •     Windows XP
  • C:\Documents and Settings\%User%\Local Settings\Temp\gjbjojht.exe
  •     Windows Vista/7/8       
  • C:\Users\%user%\AppData\Local\Temp\ gjbjojht.exe
  • C:\Users\%user%\AppData\Roaming\ gjbjojht.exe
Salah satu file tersebut akan di jalankan pada saat komputer di nyalakan dengan merubah registri berikut:

  •     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • {E6E9026C-829A-2A1A-C44C-A9B0AB341007} =
C:\DOCUME~1\%User%\LOCALS~1\Temp\gjbjojht.exe 

  •     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • {E6E9026C-829A-2A1A-C44C-A9B0AB341007} = C:\DOCUME~1\%User%\LOCALS~1\Temp\gjbjojht.exe
G Data mendeteksi file tersebut sebagai virus Trojan.Agent.ZDFA (lihat gambar 6)
20140210I_cryptolockerenkripsi13
Gambar 6, G Data mendeteksi file yang di unduh oleh CryptoLocker sebagai Trojan.Agent.ZDFA
Eknripsi file
Aksi yang dilakukan oleh CriptloLocker adalah mengenkripsi file yang ada di komputer lokal (komputer yang sudah terinfeksi) dengan ekstensi yang sudah ditentukan dengan menggunakan RSA-2048.

Selain enkripsi file yang berada di komputer yang sudah terinfeksi, CryptoLocker juga akan mengenkripsi file pada Drive/Folder yang di mapping yang mempunyai akses full control. Menurut pengetesan Laboratorium virus Vaksincom, Cryptolocker hanya mengenkripsi semua fullsharing yang dimapping dan tidak mengenkripsi Drive/Folder/File yang di share tetapi tidak di mapping. (lihat gambar 7)
20140210I_cryptolockerenkripsi15
Gambar 7, Contoh Folder / Drive yang di mapping
Berikut beberapa ekstensi file yang akan di enkrip oleh CryptoLocker

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.indd, *.cdr, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Jika data anda sudah dienkrip oleh Cryptolocker, maka anda tidak akan bisa membuka data tersebut danhanya akan mendapatkan data yang sudah di enkrip oleh Cryptolocker. (lihat gambar 8 dan gambar 9).
20140210I_cryptolockerenkripsi17
Gambar 8, Pesan error saat membuka file yang sudah di enkrip
20140210I_cryptolockerenkripsi19
Gambar 9, File yang sudah di enkrip oleh CryptoLocker
Membayar Tebusan
Setiap kali CryptoLocker berhasil menjalankan aksinya mengenkripsi semua data komputer korbannya, ia akan memunculkan pesan “Your Personal files are Encrypted” (lihat gambar10) secara terus menerus. Hal ini secara tidak langsung menyebabkan komputer yang terinfeksi menjadi lambat.

Data yang dienkrip tidak dapat didekrip ?
Kabar buruknya, karena bagusnya pengamanan enkripsi RSA 2048 yang digunakan sebagai standar enkripsi https oleh penyedia jasa internet dunia seperti Google, Facebook dan Yahoo. Hampir mustahil untuk mendekrip file yang dienkrip tanpa private key yang digunakan untuk enkripsi data. Dan private key untuk dekrip file tersebut hanya di miliki oleh si pembuat virus, Anda hanya diberikan waktu selama 72 jam atau 3 hari sejak komputer pesan permintaan tebusan ditampilkan untuk menghubungi si mpunya virus guna mendapatkan kembali data anda. Namun Private Key tidak akan diberikan secara gratis, tetapi anda harus membayar US $ 300 yang dapat di kirim melalui MoneyPak atau Bitcoin. Jika melewati batas waktu yang telah ditentukan maka Private Key tersebut akan dihapus dan secara teknis data anda akan hilang selamanya. (lihat gambar 10).
20140210I_cryptolockerenkripsi22
Gambar 10, Informasi yang akan di tampilkan oleh CryptoLocker
Berikut beberapa contoh metode pembayaran yang di tawarkan oleh CryptoLocker
20140210I_cryptolockerenkripsi24
Gambar 11, Metode pembayaran dengan menggunakan MoneyPak
20140210I_cryptolockerenkripsi26
Gambar 12, Metode pembayaran dengan menggunakan bitcoin
Daftar file yang akan sudah dienkrip oleh CryptoLocker akan di simpan kedalam registri berikut: (lihat gambar 13)

  •     HKEY_CURRENT_USER\Software\CryptoLocker_0388 (nama key acak)
  • PublicKey (key untuk encrypt file)
  • VersionInfo (informasi server CryptoLocker)
  • Wallpaper
  •     HKEY_CURRENT_USER\Software\CryptoLocker_0388 (nama key acak)
  • Files (berisi file yang sudah di encrypt)
20140210I_cryptolockerenkripsi28
Gambar13, Daftar file yang sudah di enkrip oleh CryptoLocker
Mengganti  Walpaper Windows
Untuk memastikan korbannya menyadari bahwa datanya dienkrip. CryptoLocker juga akan menampilkan pesan lain dengan cara mengganti Wallpaper Windows dengan file wallpaper yang di simpan di direktori  berikut dengan nama file acak [contoh: C:\Documents and Settings\adang\Desktop\Mrrmkokislmfndtxl.jpg]. (lihat  gambar 14).
20140210I_cryptolockerenkripsi30
Gambar 14, Pesan yang akan di tampilkan CryptoLocker pada background desktop komputer
Cara manual pembersihan virus CryptoLocker (Trojan.GenericKD.1492946)

  • Putuskan hubungan komputer yang akan di bersihkan dari jaringan/internet
  • Matikan proses virus yang aktif di memori. Sebagai informasi, virus Cryptolocker akan mengatifkan 2 (dua) proses di memori dengan nama yang sama atau mempunyai Description atau Product Name WrittenMotion. Matikan ke dua proses tersebut secara bersamaan agar virus tidak aktif kembali (Catatan: Nama file yang akan di aktifkan berbeda-beda untuk setiap komputer yang terinfeksi). (lihat gambar 15)
Untuk mematikan proses virus tersebut, silahkan download tools Currprocess di website:

http://www.nirsoft.net/utils/cprocess.html

20140210I_cryptolockerenkripsi32
Gambar 15, Mematikan proses virus cryptoLocker (Trojan.GenericKD.1492946) 
  • Fix Registri Windows yang sudah di ubah oleh CryptoLocker. Untuk mempercepat proses penghapusan, silahkan copy script di bawah ini pada program NOTEPAD kemudian simpan dengan nama sembarang (contoh: REPAIR.INF). pada saat anda akan menyimpan file tersebut pastikan pada kolom save as type di pilih All Files (*.*). (lihat gambar 16)
20140210I_cryptolockerenkripsi34
Gambar 16, Menyimpan file  Repair.inf
Berikut Script yang harus di copy

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2014

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, *CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, {E6E9026C-829A-2A1A-C44C-A9B0AB341007}

  •     Hapus file induk virus yang berada di lokasi :
  • Untuk Windows XP
[C:\Document and Settings\%user%\Local Settings\Application Data\]
  • Untuk Windows Vista/7/8
[C:\Users\%user% \AppData\Local\] atau [C:\Users\%user% \AppData\Roaming\]

File virus CryptoLocker secara default akan disembunyikan, oleh karena itu sebelum menghapus file tersebut, sebaiknya anda tampilkan terlebih dahulu file yang tersembunyi  dengan cara:

A. Windows XP
  • Buka aplikasi Windows Explorer
  • Klik menu [Tools]
  • Klik [Folder Options]
  • Kemudian akan muncul layar Folder Options
  • Klik tabulasi [View]
  • Kemudian pada kolom Advanced, pilih opsi Show hidden files and folders dan hilangkan tanda centang pada opsi Hide protected operating system files (Recommended) dan Hide extension for known file types (lihat gambar 17) 
20140210I_cryptolockerenkripsi36
Gambar 17, Tab [View] Windows XP 
  • Kemudian klik tombol [Apply]
  • Klik tombol [OK]
B. Windows 7
  • Buka aplikasi Windows Explorer
  • Klik menu [Organize]
  • Klik [Folder and Search Options]
  • Kemudian akan muncul layar Folder Options
  • Klik tabulasi [View]
  • Kemudian pada kolom Advanced, pilih opsi Show hidden files and folders dan hilangkan tanda centang pada opsi Hide protected operating system files (Recommended) dan Hide extension for known file types (lihat gambar 18)
20140210I_cryptolockerenkripsi38
Gambar 18, Tab [View] Windows Vista/7/8 
  • Kemudian klik tombol [Apply]
  • Klik tombol [OK]
  • Sebaiknya hapus file Temporary yang berada di lokasi (C:\Documents and Settings\%user%\Local Settings\Application Data\Temp) atau C:\Users\%user%\AppData\Local\Temp), dikarenakan CryptoLocker (Trojan.GenericKD.1492946) akan mendownload virus lain yang akan di simpan di folder temporary tersebut
  • Scan full HDD dengan menggunakan antivirus yang up-to-date untuk memastikan computer telah benar-bernar bersih dari virus CryptoLocker (Trojan.GenericKD.1492946) atau malware lain nya. Anda dapat menggunakan antivirus G Data Total Protection, silahkan download di alama http://www.virusicu.com/product/Totalprotection2014.php (lihat gambar 19)
20140210I_cryptolockerenkripsi39
Gambar 19, Hasil scan antivirus G Data
Catatan:

Antivirus G Data sudah dapat membersihkan virus CryptoLocker dan registry yang sudah di ubah oleh virus dan anda tidak perlu melakukan proses fix registry lagi.
Salam,


A. J. Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: