Wallet Ransomware exploit RDP

22 Februari 2017
Wallet Ransomware
Varian Crysis brute force RDP
Penyebaran ransomware sampai bulan Februari 2017 ini masih belum menunjukan tanda-tanda akan berhenti, bahkan semakin banyak dengan beragam variasi dalam penyebaran nya, jika sebelumnya locky dan keturunan nya merajai menyebaran rasomware sampai akhir 2016, kini turunan Crysis Ransomware yang mulai unjuk gigi dengan mengeluarkan banyak varian yang mempunyai ciri-ciri akan menambahkan ekstensi .wallet pada setiap file yang di enkripsi dan tidak tanggung-tanggung Crysis Ransomware juga akan enkrpsi file aplikasi sehingga program apilikasi yang terpasang menjadi rusak. Ransomware yang akan meninggalkan alamat email dengan domain di India ini menggunakan pendekatan komunikasi via email dan meminta pembayaran melalui bitcoin dengan biaya tebusan lebih dari belasan juta rupiah.
Gambar 1, G Data mendeteksi ransomware .wallet sebagai Crysis

Eksploitasi RDP (Remote Desktop Protocol)
Untuk menyebarkan dirinya, wallet mempunyai metode yang berbeda dengan kebanyakan ransomware yang menyebar saat ini, wallet akan masuk secara paksa dengan melakukan brute force ke komputer target dengan mengeksploitasi RDP (Remote Desktop Protocol) untuk meremote komputer target. Setelah berhasil mengakses komputer sasarannya dengan tidak sah, ia menjalankan program ransomware yang akan mengenkripsi komputer yang berhasil di eksploitasi tersebut.

Untuk mendapatkan komputer target, mereka juga dapat dengan mudah membeli layanan untuk mendapatkan akses RDP Server yang pernah di hack sebelumnya atau melakukan scanning untuk mendapatkan IP komputer yang memanfaatkan RDP dan memiliki celah keamanan yang bisa ei eksploitasi. Setelah berhasil menguasai sistem komputer target, ia akan mengunduh dan menjalankan ransomware secara otomatis dengan terlebih dahulu mematikan program pengaman seperti antivirus/firewall yang sudah terpasang pada komputer target.

Cara ini juga di lakukan oleh beberapa jenis ransomware lain seperti LowLevel, DMA Locker, Apocalypse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, atau Globe Ransomware.

File induk Wallet Ransomware
Pada saat wallet aktif, ia akan membuat beberapa file induk yang mempunyai nama acak dan ukuran yang berbeda-beda dengan ekstensi .exe, file ini akan di jalankan pada saat komputer di nyalakan/restart yang sekaligus akan melakukan proses enkripsi terhadap file dengan ekstensi yang sudah ditentukan. (lihat gambar 2)
Gambar 2, contoh file induk wallet Ransomware

Berikut beberapa lokasi file induk yang akan di buat oleh wallet Ransomware (lihat gambar 3):
  • C:\Windows\System32\%file ransomware%.exe
  • C:\User\%user%\AppData\Roaming\Microsoft\Windows\StartMenu\Program\Startup\% file ransomware%.exe
  • C:\ProgramData\Microsoft\Windows\Start Menu\Program\Startup\%file ransomware%.exe
  • (Windows XP)  C:\Document and Settings\All Users\Start Menu\Programs\Startup\%file ransomware%.exe
  • (Windows XP)  C:\Document and Settings\%Users%\Start Menu\Programs\Startup\%file ransomware%.exe
Gambar 3, lokasi file induk wallt Ransomware

Agar file tersebut di jalankan secara otomatis, ia akan membuat registri berikut (lihat gambar 4):
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • %string% = %alamat file ransomware%
Gambar 4, lokasi registry Wallet Ransomware

Enkripsi file dan aplikasi
Berbeda dengan ransomware yang banyak beredar, wallet Ransomware akan melakukan enkripsi pada semua tipe file termasuk file aplikasi (file dengan ekstensi .exe/.com/.bat/.scr/.cmd) sehingga file aplikasi yang sudah terinstall tidak dapat dijalankan / error.

Enkripsi ini akan di lakukan baik pada komputer target maupun pada file yang di sharing atau di mapping dengan melakukan panambahan ekstensi .wallet disetiap file yang di enkripsi.
Format file yang di enkripsi berbeda-beda, tergantung varian Ransomware yang menginfeksi contoh nya %nama file%.[alamat email pembuat ransomware].wallet (lihat gambar 5)
Gambar 5, Contoh file yang di enkripsi oleh wallet Ransomware

Wallet Ransomware tidak akan melakukan enkripsi file yang berada di direktori / sub direktori %Windows% (C:\Windows) dan file yang mempunyai nama di bawah ini:
  • boot.ini
  • bootfont.bin
  • ntldr
  • ntdetect.com
  • io.sys
  • explorer.exe
  • svchost.exe
Recovery File
Wallet Ransomware akan menyertakan sebuah file dengan nama info.hta di setiap direktori yang berisi informasi untuk memulihkan file yang di enkripsi dengan mengirimkan email ke alamat yang sudah di tentukan (lihat gambar 6). File Info.hta ini juga akan di tampilkan setiap kali komputer di hidupkan / restart.
Sampai saat ini belum ada tools yang dapat mengembalikan file yang sudah di enkripsi oleh wallet Ransomware. Tebusan yang diminta cukup besar sekitar 3 - 5 bitcoin atau lebih dari 30 juta. 
Gambar 6, contoh informasi recovery file yang di enkripsi Wallet Rasomware

Cara menghapus wallet Ransomware :

Vaksincom menyarankan anda menghubungi layanan support antivirus jika terinfeksi wallet ransomware dan ingin membersihkan dan memproteksi dari serangan ulang. Untuk semua pelanggan Vaksincom, kami menyediakan layanan proteksi tambahan khusus sehingga bisa terhindar dari aksi dekripsi sekalipun oleh ransmware yang tidak terdeteksi / baru. Berikut solusi tuntas teknik backup yang baik dan benar juga akan diberikan kepada semua pelanggan secara gratis.
Namun jika anda tidak memiliki support antivirus dan ingin melakukan sendiri, berikut ini adalah langkah yang harus dilakukan :

  • Putuskan komputer dari internet dan jaringan (LAN/WAN) selama proses pembersihan.
  • Matikan proses virus yang aktif di memori, anda dapat menggunakan Task Manager atau tools lain yang sejenis seperti Process Explorer (lihat gambar 7) kemudian matikan proses yang di curigai sebagai file induk wallet ransomware.
    Link unduh Process Explorer: https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx
Untuk mengetahui file induk wallet Ransomware, anda bisa melihat dari registri atau dari folder Startup Windows (gunakan msconfig atau tools sejenis untuk melihat file yang akan aktif saat komputer di nyalakan). Lihat gambar 3 dan gambar 4 di atas.
Gambar 7, Menonaktifkan proses wallet Ransomware
  • Hapus file induk Cysis ransomware (lihat gambar3 dan gambar4) di atas.
  • C:\Windows\System32\%file ransomware%.exe
  • C:\User\%user%\AppData\Roaming\Microsoft\Windows\StartMenu\Program\Startup\% file ransomware%.exe
  • C:\ProgramData\Microsoft\Windows\Start Menu\Program\Startup\%file ransomware%.exe
  • (Windows XP)  C:\Document and Settings\All Users\Start Menu\Programs\Startup\%file ransomware%.exe
  • (Windows XP)  C:\Document and Settings\%Users%\Start Menu\Programs\Startup\%file ransomware%.exe
  • Hapus regisitry Wallet ransomware
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • %string% = %alamat file ransomware%
  • Untuk pembersihan optimal, scan dengan antivirus yang up-to-date
  • Install ulang program aplikasi yang bermasalah, jika banyak aplikasi Windows yang rusak, sebaiknya anda repair/install ulang Windows.
Salam,

Adang Juhar Taufik

info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: