Teslamp3

8 Maret 2016
TeslaCrypt 3.0
Enkripsi file dengan ekstensi .mp3

Gambar 1, Teslacrypt 3.0 dengan ekstensi file terenkrip .mp3

Setelah kelemahannya dieksploitasi oleh para penggiat sekuriti dimana varian Teslacrypt 2.0 memiliki kelemahan dan bisa di dekripsi tanpa perlu membayar uang tebusan kepada pembaut ransomware. Pembuat Teslacrypt memperbaiki coding malwarenya dengan meluncurkan varian Teslacrypt 3.0 yang tidak memiliki kelemahan tersebut. Adapun varian tersebut adalah Teslacrypt dengan ekstensi .ttt, .xxx, .micro dan varian terbaru yang sedang mengganas di Indonesia dan memakan banyak korban adalah yang berekstensi .mp3 (lihat gambar 1). Sebagai catatan .mp3 ini adalah semua file yang di enkrip oleh Teslacrypt dan bukan file lagu .mp3. File ini tidak akan bisa didekripsi tanpa kunci dekripsi yang hanya dimiliki oleh pembuat Teslacrypt.

Seperti kebanyakan Ransomware yang menyebar saat ini, TeslaCrypt 3.0 juga akan datang melalui email SPAM dengan menyertakan sebuah lampiran yang terkompres. TeslaCrypt 3.0 memanfaatkan aplikasi Java Script dengan menyertakan sebuah lampiran dengan ekstensi *.js. File ini berisi kode untuk mengunduh file induk TeslaCrypt 3.0 yang sudah di siapkan di server internet yang sudah dipersiapkan sebelumnya. Lampiran yang di kirimkan oleh TeslaCrypt 3.0 berbeda-beda dan ukuran bervariasi dan biasanya akan menyertakan kata-kata Invoice atau SCAN (contoh: Invoice_Scan_kIvlaE.js). Sama seperti kebanyakan email yang dikirimkan oleh ransomware, biasanya akan berisi tagihan dengan lampiran terkompres .zip supaya diloloskan oleh mailserver yang kebanyakan memblokir lampiran yang bisa langsung dijakankan seperti .exe, .pit. .scr atau .com. (lihat gambar 2)

Gambar 2, Contoh email yang dikirimkan TeslaCrypt 3.0

Jika file tersebut di ekstak maka akan terdapat sebuah file yang mempunyai ekstensi .JS, seperti terlihat pada gambar 3 dibawah ini.
Gambar 3, Contoh file JavaScript yang kirimkan oleh TeslaCrypt 

G Data Antivirus mendeteksi lampiran berbahaya ini sebagai Trojan.js (lihat gambar 4)
Gambar 4, G Data mendeteksi file pengunduh ransomware ini sebagai Trojan Script dan file dropper sebagai Trojan.Teslacrypt

Pada saat user menjalankan file lampiran tersebut, ia akan mengunduh file induk dari server yang sudah dipersiapkan, kemudian akan di simpan di direktori :
C:\Windows\%file_acak%.exe
C:\User\%user%\AppData\Roaming\%file_acak%.exe
C:\Document and Settings\ %user%\Application Data\%file_acak%.exe (pada Windows XP/2003)

dengan ukuran yang bervariasi (contoh: C:\Windows\ylhklogsvixg.exe dengan ukuran 360 KB). Lihat gambar 5.
Gambar 5, Contoh file induk TeslaCrypt 3.0

Setelah file induk tersebut berhasil di unduh, script tersebut akan menjalankan file tersebut secara otomatis serta akan membuat mengubah registri dengan memasukkan agar file induk tersebut dapat di jalankan secara otomatis setiap kali komputer di hidupkan/di restart.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Xwyeqab = C:\WINDOWS\system32\CMD.EXE /c start C:\WINDOWS\ylhklodsvixg.exe

Enkripsi data dengan menambahkan ekstensi .MP3
Setelah Ransomware berhasil aktif, kemudian ia akan mencari dan mengenkripsi file dengan ekstensi yang sudah di tentukan, baik pada komputer lokal yang terinfeksi (termasuk Flash disk/eksternal HDD) maupun pada folder/drive yang di mapping kemudian akan menambahkan ekstensi .MP3 di setiap file yang di enkripsi. Private key dari setiap file yang di enkripsi akan disimpan oleh pembuat malware sehingga file yang sudah di enkripsi tidak dapat di dekripsi kecuali dengan melakukan pembayaran tebusan ke pembuat ransomware.

Secara default ekstensi file akan di sembunyikan oleh Windows sehingga file yang terlihat adalah file anda mempunyai icon mp3 seperti terlihat pada gambar 6
Gambar 6, Data yang di enkripsi oleh TeslaCrypt

Tetapi, jika anda tampikan ekstensi file tersebut maka akan terlihat ekstensi tambahan yang di sertakan oleh TeslaCrypt. Lihat gambar 7.
Gambar 7, Menampilkan ekstensi file

Berikut cara untuk menampilkan ekstensi file:

  • Buka [Windows Explorer]
  • Klik [Tools | Folder Options]
  • Kemudian akan muncul layar “Folder Options”
  • Klik tabulasi [View]
  • Hilangkan tanda checklist pada opsi “Hide extensions for known file types”

Jika anda membuka file yang sudah di enkripsi maka akan muncul pesan error seperti terlihat pada gambar 8
Gambar 8, Pesan error saat menjalankan file yang sudah di enkripsi

Menghapus Shadow Volume Copies
Untuk mempersulit recovery file yang sudah di enkripsi, Teslacrypt 3.0 juga akan menghapus Shadow Volume Copies dengan memanfaatkan file vssadmin.exe yang sudah di sediakan oleh Windows dengan menjalankan perintah vssadmin.exe Delete Shadows /All /Quiet

Lokasi Folder yang tidak akan di enkripsi oleh TeslaCrypt
Dari hasil pengujian Lab Vaksincom, TeslaCrypt tidak  melakukan enkripsi file yang ada di folder berikut yang berada pada drive System.

C:\Windows (beserta sub folder)
C:\Program Files (berserta sub folder)
C:\Documents and Settings\All Users\Application Data (berserta sub folder)

Tips:
Anda dapat memanfaatkan celah ini agar data anda tidak dienkripsi oleh TeslaCrypt varian ini. Tetapi ini bukanlah jaminan karena virus selalu belajar dari pengalaman. Oleh karena itu langkah yang terbaik adalah dengan melakukan backup data penting anda pada media yang terpisah.

Pesan (tebusan) dari TeslaCrypt
Setelah sukses melakukan enkripsi, TeslaCrypt 3.0 akan menampilkan pesan dengan nama : _ReCoVeRy_+%acak%.html _ReCoVeRy_+%acak%.png
_ReCoVeRy_+%acak%.txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3-%karakter acak%] (ekstensi .png, .txt dan .html)

yang berisi cara untuk menyelamatkan data yang sudah di enkripsi. Pesan ini dibuat di setiap folder/subfolder dimana terdapat file yang di enkripsi. (lihat gambar 9 dan 10)
Gambar 9, Pesan permintaan tebusan dan cara membayar tebusan Teslacrypt 3.0

Supaya pesan permintaan tebusan sampai kepada korbannya, TeslaCrypt juga akan menambahkan file pesan tersebut sebagai bookmark pada aplikasi browser yang anda gunakan (lihat gambar 10).
Gambar 10, Pesan permintaan tebusan dan cara membayar tebusan Teslacrypt 3.0 dalam html


Jumlah Tebusan 
Jika korbannnya ingin membayar tebusan, Teslacrypt meminta uang cukup besar dan memilih Bitcoin sebagai saran penerimaan pembayaran tebusan supaya sulit di lacak penegak hukum. Jumlah uang yang diminta bervariasi, antara US $ 250 s/d US $ 500. Sebagai catatan, jumlah tebusan ini akan meningkat dua kali lipat jika korbannya tidak melakukan pembayaran lebih dari 7 (tujuh) hari sejak peringatan tersebut di tampilkan. 

Sebagai informasi, jika file yang sudah di enkripsi mempunyai ekstensi tambahan .MICRO, .XXX, .TTT dan .MP3 sampai artikel ini di turunkan belum ada tools yang dapat melakukan decrypt terhadap file tersebut.

Cara menghapus Ranssomware TeslaCrypt secara manual
Jika antivirus anda tidak mampu mendeteksi Teslacrypt dan ransomware ini berhasil menginfeksi komputer anda, maka langkah yang perlu anda lakukan untuk menghapus Teslacrypt dari komputer adalah sebagai berikut :
  • Putuskan komputer dari jaringan selama proses pembersihan
  • Lakukan pembersihan pada mode “safe mode”
  • Hapus file induk ransomware TeslaCrypt, biasanya akan menunjukan lokasi “C:\WINDOWS\%acak%.exe atau “C:\User\%user%\AppData\Roaming\%file acak%.exe (C:\Document and Settings\ %user%\Application Data\%file acak%.exe pada Windows XP/2003)
  • Hapus registri yang di buat oleh TeslaCrypt
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    %acak% = %lokasi file acak%, biasanya akan menunjukan lokasi “C:\WINDOWS\%acak%.exe atau “C:\User\%user%\AppData\Roaming\%file acak%.exe (C:\Document and Settings\ %user%\Application Data\%file acak%.exe pada Windows XP/2003)
  • Hapus file pesan yang dibuat oleh TeslaCrypt (kecuali jika ada ingin membayar tebusan)

Untuk file yang sudah dienkripsi Teslacrypt 3.0, jika anda tidak ingin membayar tebusan, tentunya anda sangat kecewa dan marah terhadap pembuat Teslacrypt. Hati boleh panas tetapi kepala tetap dingin. Jangan format dulu komputer anda tetapi Vaksincom menyarankan anda untuk membackup semua data yang telah terenkripsi baik ke dalam DVD dan simpan dengan baik secara offline. Kemungkinan dalam kurun waktu 10 tahun solusi untuk dekripsi file yang ini akan tersedia.
Salam,

Aj Tau
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: