Teslacrypt 3.0

16 Maret 2016
Teslacrypt 3.0 mengamuk
Bombardir email dengan JS.downloader

Dalam dua minggu terakhir ini, bukan saja persaingan calon gubernur Jakarta yang memanas, di ranah sekuriti para pengguna internet banking dan online shopping perlu meningkatkan kewaspadaan karena pembuat ransomware kelihatannya mulai melakukan rekayasa sosial yang mengincar mereka dengan mengirimkan email yang seakan-akan datang dari penyedia layanan internet banking dan online shopping.

Jika penerima email terjebak dan membuka lampiran tersebut, sekalipun anda gubernur Jakarta data penting anda termasuk semua data di komputer lain yang disa diakses dari openshare dan memberikan hak full akses seperti dokumen kerja MS Office, foto, video dan semua data lainnya akan dienkrip oleh ransomware yang menurut identifikasi Vaksincom adalah Teslacrypt 3.0 yang jika mengenkrip data korbannya akan mengubah ekstensi menjadi .mp3. Sedikitnya ada lebih dari 20 versi email yang dikirimkan secara massal (spam) dalam waktu kurang dari 2 minggu.

Lampiran .zip

Ciri utama email yang datang adalah akan memiliki lampiran dan lampiran tersebut mayoritas datang dalam bentuk terkompres .zip. (lihat gambar 1)

Gambar 1, Lampiran email .zip yang mengandung downloader Teslacrypt 3.0

Hal ini dilakukan kemungkinan karena lampiran berbahaya yang bisa dieksekusi dan dijalankan langsung ketika membuka email seperti .exe, .scr, .com dan lainnya umumnya diblokir oleh administrator mailserver dan hanya lampiran yang “dianggap” aman seperti .zip dan file kerja seperti MS Office yang diperbolehkan untuk dilampirkan melalui email. Menjadi buah simalakama bagi administrator mailserver jika memblokir lampiran .zip atau MS Office karena tentunya akan menghambat produktivitas pengguna komputer, namun jika meloloskan lampiran ini berpotensi menyebarkan ransomware. Cerdiknya lagi, lampiran yang dikirimkan tidak langsung mengandung file ransomware tetapi hanya mengandung kode yang telah dipersiapkan untuk mengarahkan komputer korbannya mengunduh ransomware di alamat IP atau situs yang telah dipersiapkan sebelumnya. Kalau dalam kasus Locky menggunakan Word Macro, dalam kasus Teslacrypt 3.0 yang dieksploitasi adalah JS alias Javascript. (lihat gambar 2)
Gambar 2, Javascript yang akan melakukan aksi unduh ransomware dan menjalankan secara otomatis di komputer korbannya

Dari beberapa contoh email yang berkembang, terlihat kecenderungan rekayasa sosial yang tadinya mengincar kalangan korporasi dengan email bertema tagihan perusahaan bergeser menjadi sasaran perorangan, termasuk pengguna kartu kredit, internet banking dan online shopping. (lihat gambar 3 dan 4)
Gambar 3, Email dengan rekayasa sosial yang mengincar sasaran korban dari perusahaan / korporasi
Gambar 4, Pengguna online banking menjadi salah satu sasaran email ransomware

Berdasarkan statistik yang dikumpulkan oleh Lab Vaksincom, ransomware ini sangat agresif menyebarkan dirinya dengan masif dan dalam waktu 2 minggu pertengahan bulan Maret 2016 saja variasi tema email yang dikirimkan mencapai lebih dari 20 jenis. (lihat gambar 5)
Gambar 5, Variasi email ransomware yang diterima Lab Vaksincom dalam 2 minggu terakhir

Beberapa contoh nama lampiran yang digunakan adalah :

doc_details_47299213.zip
document_89591421.zip
readme_16412479.zip
scan_56269958.zip

Jika dibuka, file .zip tersebut akan mengandung file .js dengan nama :

mail_zdftPa.js
document_YrHDvc.js
document_Wueoqw.js
letter_yiuUSc.js

Javascript ini sebenarnya di tulis untuk Windows Scripting Host atau lebih dikenal dengan nama Jscript. Ia akan mengunduh malware dengan nama “69.exe” atau “80.exe” dari alamat situs yang telah dipersiapkan dan telah dimasukkan ke dalam malware seperti giveitalltheres**.com, imgointoeatnow**.com, 54.212.162.*, 78.135.108.** dan 216.58.219.**.

Setelah itu, malware juga akan mengunduh beberapa file dari :
http://emmy201*.com/strbin.php
http://esboo*.com/binstr.php
http://joshsawyerdesig*.com/wp-content/plugins/binstr.php
http://marketathar*.com/binstr.php
http://nlhomegarde*.com/strbin.php
http://prodocumen*.co.uk/strbin.php

dan mulai menjalankan aksinya mendekrip file di komputer korbannya. Setelah memastikan aksinya berhasil dimana semua file sudah dienkrip dan ekstensinya dirubah menjadi .mp3 maka ia akan memberikan alamat TOR (The Onion Router), TOR to the web dan alamat bitcoin untuk menampung uang tebusan yang kemudian akan ditampilkan pada komputer korbannya.

G Data antivirus mendeteksi lampiran malware email sebagai JS.Exploit, JS.Trojan, JS.Downloader dan JS.Teslacrypt (lihat gambar 6)
Gambar 6, G Data Antivirus mendeteksi lampiran sebagai malware JS.Exploit, JS.Downloader dan JS.Teslacrypt
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: