Teslacrypt

18 Mei 2015
Teslacrypt
Enkripsi 185 ekstensi file, 27 % file game
Nikola Tesla adalah seorang ilmuwan berdarah Serbia Amerika yang merupakan pesaing Thomas Edison di jamannya. Penemuan Tesla pada arus kuat AC dan telekomunikasi menjadi landasan listrik modern dan telekomunikasi hari ini. Tesla memiliki kemampuan eidetic memory dimana ia mampu dengan tepat mengingat gambar dan objek, yang membuatnya dengan akurat memvisualisasikan objek 3D yang rumit sehingga memungkinkan ia membangun suatu prototype hanya dengan beberapa gambar awal. Tidak heran kalau namanya digunakan oleh Elon Musk, generasi baru milyuner yang kini menjadi idola anak muda yang memproduksi mobil listrik Tesla Model S yang cukup populer di Amerika. Rupanya, selain menjadi inspirasi Elon Musk, nama Tesla juga digunakan oleh pembuat ransomware yang menamakan dirinya Teslacrypt. (lihat gambar 1)
20150518I_teslacrypt
Gambar 1, Teslacrypt
Mengenkripsi data onlinegame

Berbeda dengan ransomware lain yang umumnya mengincar data penting konvensional seperti MS Office, Adobe, Database, Gambar film dan koleksi lagu. TeslaCrypt mengenkripsi 185 ekstensi dan sekitar 50 ekstensi atau 27 % ekstensi yang di incarnya berhubungan dengan file game.

Menurut Bromium Labs daftar game yang di incar oleh TeslaCrypt adalah :


Game Single User :
  •     Call of Duty
  •     Star Craft 2
  •     Diablo
  •     Fallout 3
  •     Minecraft
  •     Half-Life 2
  •     Dragon Age: Origins
  •     The Elder Scrolls dan file Skyrim
  •     Star Wars: The Knights Of The Old Republic
  •     WarCraft 3
  •     F.E.A.R
  •     Saint Rows 2
  •     Metro 2033
  •     Assassin’s Creed
  •     S.T.A.L.K.E.R.
  •     Resident Evil 4
  •     Bioshock 2
Game Online :
  •     World of Warcraft
  •     Day Z
  •     League of Legends
  •     World of Tanks
  •     Metin2
File lain yang berhubungan dengan game:
  •     EA Sports
  •     Valve
  •     Bethesda
  •     Steam
  •     RPG Maker
  •     Unity3D
  •     Unreal Engine
Apa tujuan mengenkripsi file gaming ?

Kemungkinan besar pembuat malware ini mengincar pengemar game dan alasan mengincar file game adalah karena file-file penting lain mungkin sudah dibackup dengan baik oleh para pengguna komputer dan sampai saat ini kelihatannya file-file yang berhubungan dengan game jarang di backup sehingga jika berhasil dienkripsi oleh Teslacrypt korbannya akan bersedia membayar ransom untuk mengembalikan karakter gamenya yang dienkripsi.

Menggunakan klip Flash dan Angler Exploit

Dalam menyebarkan dirinya, TeslaCrypt menggunakan sarana penyebaran email dan website. TeslaCrypt menggunakan teknik yang tidak konvensional dimana biasanya malware menggunakan teknik iframe atau iframe dinamis yang dihasilkan oleh JavaScrupt. Namun TeslaCrypt menggunakan klip Flash yang disembunyikan (invisible). Guna menjalankan aksinya ini, TeslaCrypt akan melakukan eksploitasi pada celah keamanan dimana salah satu celah keamanan populer dieksploitasi adalah Adobe Flash Player CVE-2015-0311. Guna mengeksploitasi korbannya, TeslaCrypt menggunakan Angler Exploit Kit yang dalam aksinya akan berhasil menginfeksi korbannya sekalipun sudah terproteksi dengan program antivirus yang terupdate karena memang yang diserang adalah celah keamanan dan eksploitasi celah keamanan bisa membypass perlindungan antivirus.

Jika program antivirus yang terpasang memiliki teknologi Anti Exploit seperti G Data Antivirus, maka eksploitasi celah keamanan Angler Exploit kit ini tidak akan berjalan karena akan dihentikan oleh program G Data Anti Exploit.


Menghapus Shadow Copy dan Anti Tempering

Seperti ransomware generais terakhir yang beredar, TeslaCrypt memiliki payload menghapus semua Volume Shadow Copy Windows dengan menjalankan perintah “vsadmin.exe delete shadows /all /quiet”. Tujuannya adalah supaya korbannya tidak bisa melakukan restore dengan Shadow copy. Selain itu, TeslaCrypt juga melengkapi dirinya dengan kemampuan Anti-Tempering dimana setiap 200 mili detik ia akan mencari program-program dengan nama :
  •     taskmgr
  •     procexp
  •     regedit
  •     msconfig
  •     cmd.exe
Dan jika menemukan program dengan nama tersebut akan dihentikan dengan perintah “Terminate Process”

Satu fakta menarik yang diketahui adalah TeslaCrypt juga bermulut besar (berbohong) dimana ia mengklaim kalau data korbannya di enkripsi dengan enkripsi RSA-2048 asimetris. Namun kenyataannya enkripsi yang digunakan adalah enkripsi simetris. Hal ini memungkinkan untuk beberapa korban jenis TeslaCrypt versi awal dapat diselamatkan datanya tanpa harus membayar ranwom karena rupanya key untuk dekripsi masih tersimpan di komputer korbannya. Adalah Talos Group yang berbaik hati menyediakan fasilitas untuk dekripsi korban TeslaCrypt. Namun dalam waktu tidak lama, pembuat TeslaCrypt memperbaiki kesalahannya sehingga key dekripsi tidak tersimpan di komputer korbannya. Adapun varian korban TeslaCrypt yang masih bisa di dekrip adalah yang hasil enkripsinya memiliki ekstensi .ECC (tidak 100 %). Sedangkan jika hasil enkripsinya memiliki ekstensi .EXX dan .EZZ merupakan varian TeslaCrypt yang sudha disempurnakan dan tidak bisa di dekripsi lagi.
Jika anda ingin mengantisipasi serangan Ransomware dan ancaman atas Internet Banking, ikuti seminar yang akan diadakan oleh Vaksincom pada tanggal 26 Mei 2015 di Jakarta Design Center dengan thema :

Age of Ransomware, Surviving Internet Banking threat & Bulletproofing your digital asset with T-FA

Untuk informasi lebih lanjut atas seminar ini dapat diakses di :
http://virusicu.com/seminar/0515/ctblocker.html
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: