Daftar Ransomware Indonesia

26 Juni 2015
Daftar Ransomware Indonesia
Terminator Data
Jika anda menjadi korban ransomware dan data anda di sandera, mungkin rasanya seperti bertemu Terminator terhadap data anda. Hampir tidak ada orang di dunia ini yang bisa menolong mengembalikan data anda kecuali anda sudah mempersiapkan diri dengan backup secara teratur baik secara manual atau menggunakan backup otomatis seperti yang diberikan oleh G Data Total Protection.  In order to win, Know Your Enemy, begitu kata Sun Tsu, karena itu rasanya penting jika para pembaca mengetahui apa saja ransomware yang sedang mengganas di Indonesia dan ciri-cirinya. Dalam artikel di bawah ini, Vaksincom akan memberikan paparan tentang Ransomware yang ditemukan Vaksincom aktif di Indonesia dengan harapan para pengguna komputer bisa mengetahui cara kerja ransomware dan menghindari faktor infeksi ransomware tersebut.

Cryptolocker


Ciri umum Cryptolocker:

Cryptolocker sebenarnya sudah tidak menyebar lagi karena servernya sudah teridentifikasi dan dihentikan oleh pihak berwajib, namun karena ia merupakan ransomware pertama yang sukses dan banyak ransomware yang mengikuti metode dan cara penyebaran cryptolocker, maka cryptolocker tetap perlu diberikan sebagai acuan informasi supaya pembaca berhati-hati terhadap aksi ransomware.
  • Cryptolocker akan menyebar melalui email  dengan lampiran yang di kompres (RAR/ZIP), file tersebut berisi sebuah file (nama file acak) dengan ekstensi ganda (pdf.exe)
Contoh email yang akan dikirimkan oleh CryptoLocker
Contoh file attachment CryptoLocker yang di kirim melalui email

  • Cryptolocker akan  menghapus file Shadow Volume Copies  sehingga mempersulit saat user melkukan recovery file
  • Cryptolocker akan melakukan enkripsi file yang berada pada drive lokal pada komputer yang terinfeksi dan pada mapping drive (folder share dari komputer lain yang di mapping di komputer yang terinfeksi Cryptolocker). Setiap file yang di enkripsi tidak mengalami perubahan ekstensi.

File induk Cryptolocker
  • C:\Document and Settings\%users%\Local Settings\Application Data\%file acak%.exe
  • C:\Documents and Settings\%user%\Local Settings\Temp\%file acak%.exe
  • C:\Documents and Settings\%user%\Desktop\%file acak%.jpg
  • C:\Users\%Users%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Local\Temp\%file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe
  • C:\Users\%user%\Desktop\%file acak%.jpg
File induk Cryptolocker

Tebusan yang diminta :
  • $300 dengan menggunakan Bitcoin/MoneyPack
Informasi yang akan ditampilkan Crytolocker
Wallpaper Desktop Windows yang diganti oleh CryptoLocker

CryptoDefense

Ciri umum CryptoDefense:
  • Menyebar dengan menggunakan email dengan menyertakan lampiran yang di kompresi (RAR/ZIP) dan memanfaatkan celah keamanan software (contoh: flash player)
  • CryptoDefense akan  menghapus file Shadow Volume Copies  sehingga mempersulit saat user akan recover file
  • CryptoDefense akan mengenkripsi file yang berada pada drive lokal pada komputer yang terinfeksi dan pada mapping drive. Setiap file yang di enkripsi akan menambahkan string !crypted! di awal isi file.
String !Crypted! yang ditambahkan oleh CryptoDefense pada fileyang di enkripsi

File CryptoDefense
  • C:\Documents and Settings\%User%\Local Settings\%file acak%.exe
  • C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\%file acak%.exe]
  • C:\Users\%user%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe]
Informasi cara untuk decrypt file
  • How_Decrypt.txt & How_Decrypt.html
Tebusan :
  • USD 300 dan meningkat menjadi 1000 USD jika lebih dari 4 hari. Menggunakan Bitcoin
Isi i file How_Decrypt.html
Isi file How_Decrypt.txt
File CryptoDefense yang akan dibuat di lokasi file yang di enkripsi

CryptoWall

Ciri umum CryptoWall:
  • Menyebar menggunakan email dan memanfaatkan celah keamanan software [oracle java      remote | code execution vulnereability| abobe flash player] , emails, website (popup)
  • Menghapus file Shadow Volume Copies  sehingga mempersulit saat user akan merecovery file
File  CryptoWall:
  • C:\Documents and Settings\%User%\Local Settings\%file acak%.exe
  • C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe
Informasi daftar file yang di enkripsi
HKCU\Software\<unique computer id>\<random id>
Contoh: HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF

Informasi cara decrypt file

Help_Decrypt.txt, Help_Decrypt.html, Help_Decrypt.png, Help_Decrypt.txt,

Tebusan :
  • USD 300 [ USD 1000 jika lebih dari 4 hari] dengan menggunakan Bitcoin
File yang dibuat oleh CryptoWall 3.0 dilokasi file yang di enkripsi
Crytowall 2.0 [DECRYPT_INSTRUCTION.HTM]
CryptoWall 3.0  [Help_Decrypt.html]

CryptOrbit

Ciri umum CryptOrbit:
  • Menyebar menggunakan email dan memanfaatkan celah keamanan software [oracle java     remote | code execution vulneebility| abobe flash player] , website (popup)
  • Menghapus file Shadow Volume Copies  sehingga mempersulit saat user akan merecover file
  • CryptOrbit tidak akan meng-enkripsi file, tetapi akan merusak file dengan menghapus string pada header file  sehingga terjadi perbedaan ukuran sebesar 512 kb dari file asli yang mengakibatkan file tidak dapat dibuka
File CryptOrbit
  • C:\Documents and Settings\%User%\Local Settings\Application Data\%file acak%.exe
  • C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\Temp\%.file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe
  • C:\Program Data\%file acak%.exe
Informasi cara decrypt file
HowDecrypt.txt, HowDecrypt.gif & HowDecrypt.ntm;

Tebusan :
  • $500  dengan menggunakan Bitcoin
Informasi yang akan di tampilkan oleh CryptOrbit [HowDecrypt.txt]

CointVault

Ciri umum CoinVault:
  • Menyebar dengan menggunakan email  dengan menyertakan file yang di kompres (ZIP/RAR/Cab). File yang di kompres akan mempunyai ekstensi ganda (contoh: pdf.exe)
  • Menghapus file Shadow Volume Copies  sehingga mempersulit saat user akan recover file.
File CointVault
  • %AppData%\Microsoft\Windows\coinvault.exe
  • %AppData%\Microsoft\Windows\edone
  • %Temp%\wallpaper.jpg
Informasi daftar file yang di enkripsi
  • %Temp%\CoinVaultFileList.txt
  • %AppData%\Microsoft\Windows\filelist.txt
Tebusan :
  • $300 dengan Bitcoin
Informasi yang akan ditampilkan oleh CointVault
Walpaper CointVault

PCLocker CryptoLocker

Ciri umum PCLocker Cryptolocker
  • Menyebar melalui internet dan memanfaatkan celah keamanan aplikasi
  • Menghapus file Shadow Volume Copies  sehingga mempersulit saat user akan merecovery file
File  PCLocker Cryptolocker
  • %AppData%\WinCL\WinCL.exe
  • %AppData%\WinCL\winclwp.jpg
  • %AppData%\WinCL\temp.vbs
  • %UserProfile%\last_change.txt
  • %UserProfile%\winclwp.jpg
Daftar file yang di enkripsi
%UserProfile%\enc_files.txt

Tebusan :

  • $300 dengan menggunakan Bitcoin
Informasi yang akan ditampilkan oleh PCLocker Cryptolocker
Wallpaper PCLocker Cryptolocker

CTB-Locker

Ciri umum CTB-Locker:
  • Menyebar melalui email  dengan menyertakan sebuah lampiran yang di kompresi (contoh : ZIP/RAR).  Lampiran tersebut berisi sebuah file dengan ekstensi .SCR dengan nama file acak.
Contoh email yang di kirim oleh CTB-Locker
Contoh File CTB-Locker yang di kirim melalui email

  • Menghapus file Shadow Volume Copies sehingga mempersulit user pada saat akan merecovery file yang sudah di enkripsi.
  • Menambahkan ekstensi acak (sebanyak 7 karakter) pada file yang sudah di enkripsi.
Contoh file yang di encrypt oleh CTB Locker

File CTB-Locker
  • C:\Document and Settings\%users%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\ Temp\%file acak%.exe]
  • C:\Windows\Tasks\%file acak%.job
Jadwal virus yang akan di jalankan secara otomatis sesuai dengan waktu yang sudah ditentukan

Informasi cara untuk decrypt file
  • C:\Users\%user%\Documents\Decrypt All Files %acak%.txt dan !Decrypt-All-Files-%acak%.bmp) . Contoh “C:\Users\%user%\Documents\Decrypt All Files cllpldb.txt” dan “!Decrypt-All-Files-dbwnria.bmp”
  • C:\!Decrypt All Files cllpldb.txt dan !Decrypt-All-Files-%acak%.bmp.  Contoh “C:\!Decrypt All Files cllpldb.txt dan !Decrypt-All-Files-dbwnria.bmp”
Informasi daftar file yang di enkripsi
  • C:\Documents and Settings\All Users\Application Data\%file%.html
  • C:\Users\%Users%\AppData\Local\ %file%.html
Lokasi tempat menyimpan informasi daftar file yang di enkripsi
Lokasi tempat menyimpan informasi daftar file yang di enkripsi
Daftar file yang di enkripsi oleh CTB Locker

Tebusan :
  • $669 dengan menggunakan Bitcoin
Informasi yang akan ditapilkan oleh CTB Locker
Wallpaper Desktop Windows yang di ubah oleh CTB Locker

TeslaCrypt

Ciri umum TeslaCrypt:
  • Menambahkan ekstensi .ecc dan .exx pada setiap file yang di enkripsi
  • Menghapus file Shadow Volume Copies, sehingga mempersulit untuk recovery data
File & Registry:
  • %AppData%\<random>.exe
  • %AppData%\key.dat
  • %AppData%\log.html
  • %Desktop%\CryptoLocker.lnk
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • crypto13   = %AppData%\<random>.exe
Informasi cara dekripsi file
  • HELP_TO_DECRYPT_YOUR_FILES.bmp
  • HELP_TO_DECRYPT_YOUR_FILES.txt
  • HELP_RESTORE_FILES.bmp
Tebusan :
  • $300-$500 dengan menggunakan Bitcoin
Informasi  yang akan ditampilkan oleh TeslaCrypt
Wallpaper desktop Windows yang akan diubah oleh TeslaCrypt
Informasi website alamat untuk pembayaran [Help_To_Your_Save_Files.txt atau Help_To_Decrypt_Your_Files.txt]

CointLocker

Ciri umum CoinLocker:
  • Menyebar dengan menggunakan email (ZIP/RAR/Cab, ekstensi ganda (pdf.exe) , website
  • Menambahkan ekstensi tambahan  *.encrypted pada setiap file yang di enkripsi
  • Membuat file Coin.Locker.txt di setiap folder (file yang di enkripsi)
  • Menghapus file Shadow Volume Copies, sehingga mempersulit untuk recovery data
Tebusan :
  • $100 dengan menggunakan Bitcoin
Informasi yang akan ditampilkan oleh CointLocker
File yang di enkripsi oleh CointLocker
Locker V.x.xx (x.xx adalah varian dari ransomware Locker, contoh : Locker v1.7, Locker V2.16, Locker V.3.5.3, Locker V.5.5.2)

Ciri umum Locker:
Menyebar dengan menggunakan email (ZIP/RAR/Cab) dan internet dengan memanfaatkan celah keamanan aplikasi
Menghapus file Shadow Volume Copies, sehingga mempersulit untuk recovery data
Mematikan proses aplikasi VirtualBox/VmWare

File Locker
  • %AppData%
  • %LocalAppData%
  • %ProgramData%
  • C:\Windows\Systm32 atau C:\Windows\Syswow64\%file acak%.exe
  • C:\ProgramData\Steg\steg.exe
  • C:\ProgramData\Tor
  • C:\ProgramData\rkcl
  • data.aa0 – Berisi file yang di enkripsi
  • data.aa1 – Tidak diketahui
  • data.aa6 – Alamat bitcoin
  • data.aa7 – RSA key
<RSAKeyValue><Modulus>rhMUIZAtCWDQeIIu01AQy813u41pOSTRDn9+6FpsEHwWfoIrcLgBd2oqqgeT2jFRQY3/4hvsd+uWTUOG9FPBtbx3yMI9ch6/+5dU8H4mZTFakCiab5nXvYNzqQ/lIB2OwOr6i8dkjyEr94LHUUg4i4XyFRjjjoWmUwW6ND0Hbt3knN6/QiSafkvv7WTlM2aIQbxi349t79QFcr9nu3tS9eda6s+saUI34jFuQf2xob1YG2UXOMntBDgkuaso+JXrWhi1ze4ic7Ec1731IQy7rfXMcxpxWFb7rIyZukBN5aoQrY+9rTpyC4Df+phJz/osBS0kSBm+ivadETT/nKQAYQ==</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
  • data.aa8 – Versi Ransomware Locker
  • data.aa9 – Tanggal Ransomware Locker menginfeksi komputer
  • data.aa11 - Tidak diketahui
  • data.aa12 - Tidak diketahui
  • priv.key – Berisi key file untuk decrypt file. Key ini hanya akan ada pada saat anda melakukan pembayaran tebusan
  • ldr.exe, rckl.exe
File Ransomware Locker

Tebusan :
  • $25 dengan menggunakan Bitcoin
Informasi yang akan ditampilkan oleh Ransomaware Locker
Jenis pembayaran dan alamat bitcoin Ransomware Locker
Daftar file yang di enkripsi

Pembuat Locker akhirnya memutuskan untuk memberikan kunci dekripsi secara gratis, untuk informasi detail korban Locker bisa di dapatkan di http://www.vaksin.com/0615-ransomware-locker2
Salam,


A. J Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: