Locker

18 Juni 2015
Locker
Pusing Pala Barbie
aduh pusing ‘pala barbie ‘pala barbie oh ow ow
pusing ‘pala barbie ‘pala barbie oh ow ow
pusing ‘pala barbie ‘pala barbie oh ow ow
pusing ‘pala barbie ‘pala barbie

Beginilah rasanya di saat kena virus
serasa melayang-layang terbang mau marah
ku menatap foto yang hilang kena enkrip
kalau mau dekrip disuruh bayar pakai bitcoin
20150618I_ransomwarelocker01
Gambar 1, Komputer yang terinfeksi Locker

Semua data milik anda di komputer ini sudah terkunci dan di enkripsi oleh Locker. Proses enkripsi dilakukan menggunakan software profesional dan semua file anda seperti foto, video dan dompet uang kripto tidak rusak namun tidak dapat dibaca sekarang. Anda dapat menemukan daftar komplit file yang terenkrip pada tabulasi Files.
File yang terenkripsi hanya bisa dibuka dengan kunci privat RDA 2048-bit yang tersimpan dengan aman pada server kami sampai tanggal 28 Mei 2015. Jika kunci tersebut tidak diambil pada saat yang telah ditetapkan di atas, maka kunci tersebut akan dihancurkan dan anda tidak akan bisa membuka kembali file anda selamanya.
Mendapatkan kunci privat anda sangat mudah dan bisa dilakukan dengan melakukan klik pada tabulasi “Payment” dan membayar sebesar 0.1 BTC pada alamat bitcoin yang telah disiapkan untuk anda. Jika pembayaran telah terkonfirmasi, kunci dekripsi akan dikirimkan ke komputer anda dan software Locker akan secara otomatis melakukan proses dekripsi. Kami tidak memiliki minat untuk mengenkrip data anda selamanya.
Anda tetap dapat menggunakan komputer anda dengan aman, tidak ada file baru yang akan dienkripsi kembali dan tidak ada malware yang akan di instalkan. Setelah semua file di dekrip Locker akan secara otomatis menguninstal dirinya.

PERINGATAN !!
Usaha apapun untuk memperbaiki atau melakukan investigasi software Locker akan mengakibatkan penghancuran segera pada kunci privat milik anda id server kami.


Begitulah kira-kira pesan yang diterima oleh korban ransomware Locker yang mengganas akhir Mei 2015 dan disinyalir disebarkan melalui salah satu malware downloader. Sekali aktif, ia akan mengenkripsi data dengan enkripsi AES tanpa mengubah ekstensi file seperti ransomware lain. Satu-satunya cara yang efektif untuk mengidektifikasi Locker adalah tampilnya pesan seperti pada gambar 1 di atas.

Sistem komputer yang di serang adalah OS Microsoft Windows seperti Windows XP, Vista, 7 dan 8. Penyebaran diperkirakan melalui download otomatis oleh salah satu varian Trojan.Downloader yang telah disebarkan dan berhasil mendekam di komputer korbannya. Beberapa kasus Locker yang dilaporkan berkaitan dengan instalasi crack Minecraft yang ternyata mengandung Trojan.Downloader. Karena itu Vaksincom menyarankan para pengguna komputer untuk ekstra hati-hati dan berpikir ulang sebelum menggunakan software ilegal atau crack.

Jika berhasil menginfeksi komputer, Locker akan menjalankan aksinya melakukan enkripsi pada banyak file penting pada komputer korbannya seperti :
  • MS Office (.doc, .docx, .xls, .xlsx, .ppt, .pptx)
  • Open Office (.odb, .odm, .ods, .odp, .odt)
  • Gambar dan foto (jpe, jpg, .raw)
  • Autocad (.dwg)
  • Microsoft Outlook (.pst)
  • Adobe (.psd, .ai, .dng, .indd)
  • Database (.dbf, , , foto, dengan ekstensi
Selain itu, open share juga tidak luput dari aksi Locker sehingga jika ada data dari komputer lain di jaringan yang memberikan sharing dengan hak penuh (Full Sharing) akan ikut dienkripsi oleh Locker.
Berbeda dengan ransomware lain yang mengubah ekstensi file yang telah di enkrip seperti CTBLocker yang menambahkan 6 karakter acak pada ekstensi file yang telah di enkrip atau Teslacrypt yang mengubah ekstensi file menjadi .ecc atau .exx, Locker sama sekali tidak mengubah ekstensi maupun ukuran file yang telah dienkrip. (lihat gambar 2)
20150618I_ransomwarelocker02
Gambar 2, Locker tidak mengubah ekstensi file yang di enkripsi

Namun, jika anda mencoba untuk membuka file tersebut, maka anda akan mendapatkan pesan error seperti pada gambar 3 dan 4.
20150618I_ransomwarelocker03
Gambar 3, File jpg yang telah dienkrip
20150618I_ransomwarelocker04
Gambar 4, File .docx yang telah dienkrip tidak akan bisa dibuka dengan baik

Setelah selesai menjalankan aksinya ia akan menampilkan pesan seperti pada gambar 1 di atas, lengkap dengan versi yang menginfeksi komputer korbannya. Informasi yang ditampilkan pada layar Locker akan memberikan bagaimana file anda di enkripsi dan permintaan tebusan 0,1 bitcoin untuk dekripsi file anda. Jika anda tidak membayar dalam waktu 72 jam, maka tebusan akan dinaikkan menjadi 1 bitcoin atau sekitar US $ 250.

Sebagai langkah pamungkas, Locker akan menghapus semua kopi Shadow Volume dengan perintah “vssadmin.exe delete shadows /for=C: /all /quite
Selain itu, Locker juga memiliki mekanisme pertahanan diri yang cukup menarik karena jika ia mendeteksi ada program VirtualBox atau Vmware berjalan pada sistem yang di infeksinya ia akan segera menghentikan aksinya. Selain itu, proses seperti wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged dan trackwinstall yang terdeteksi akan menyebabkan Locker  menghentikan aksinya. Aksi ini dilakukan dengan tujuan untuk menghambat atau mempersulit analisa aksi Locker ini.
Sebagai langkah pamungkas, proses Locker rkcl.exe akan melakukan pengecekan pada blockchain untuk memonitor pembayaran dan jika sudah selesai dilakukan maka ia akan secara otomatis mengunduh kunci dekripsi guna melakukan proses dekripsi file secara otomatis.

Apa yang harus dilakukan oleh korban Locker ?
Jika anda menjadi korban Locker, ada kabar gembira karena pembuatnya kelihatannya menyesal telah membuat malware ini dan memutuskan untuk memberikan semua kunci dekripsi secara gratis. Ingin tahu caranya ? Ikuti dalam artikel lanjutan Locker : Barbie Ga Pusing Lagi.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: