Zepto Ransomware Penerus Locky

23 Agustus 2016
Zepto Ransomware
Enkripsi File dengan ekstensi Zepto
Gambar 1, File yang menjadi korban enkripsi Zepto Ransomware

Anda tentu masih ingat dengan Locky ransomware, yang muncul pertengahan bulan Febuari 2016 yang akan melakukan enkripsi dengan merubah nama file menjadi karakter acak serta merubah ekstensi file menjadi LOCKY. Locky ransomware akan menggunakan email dengan mengirimkan sebuah attachment yang terkompresi (ZIP) yang berisi sebuah file Microsoft word document (.doc) atau Microsoft Word Document Macros (.docm) yang sudah di sisipkan sederetan perintah macros yang akan siap di jalankan jika fitur macros yang ada pada aplikasi Microsoft word document tersebut di aktifkan, sebenar nya cara ini cukup ampuh untuk mengelabui user karena bentuk file yang di kirimkan tidak menyerupai sebuah file virus pada umumnya, tetapi hal ini bukan tanpa kelemahan karena membutuhkan peran dari user untuk “membantu” agar dirinya bisa aktif yakni dengan mengaktifkan fitur macros pada aplikasi Microsoft word document karena secara default fitur tersebut telah di matikan. (lihat gambar 2)
Gambar 2, Notifikasi untuk mengaktifkan macro Microsoft Word Document saat menjalankan file Zepto Ransomware

Zepto = Locky ?
Pada awal bulan Agustus 2016 telah muncul Zepto ransomware dan yang menjadi pertanyaan apakah Zepto merupakan varian dari Locky ransomware, karena fakta nya antara Zepto dan Locky mempunyai metode yang sama, mulai dari penyebaran, mempunyai halaman yang sama saat akan melakukan pembayaran tebusan, serta akan merubah nama file dan ekstensi pada setiap file yang di enkripsi. (lihat gambar 3 dan 4)
Gambar 3, Informasi tebusan zepto Ransomware
Gambar 4, Data yang di enkripsi oleh locky Ransomware dan Zepto Ransomware

Media Penyebaran
Sama seperti kebanyakan ransomware yang menyebar, Zepto ransomware akan datang melalui email SPAM dengan menyertakan 2 (dua) metode, yakni dengan menyertakan file yang terkompresi (ZIP) dan file yang tidak di kompresi. Untuk file yang tidak terkompresi biasanya akan menyamarkan dirinya sebagai file MS Word (ekstensi .docm) sedangkan untuk file yang di ZIP akan berisi file yang mempunyai ekstensi .JS (java script)dan .wsf (windows script files).

Isi email yang dikirimkan berbeda-beda tetapi biasanya berupa informasi tagihan/pengiriman barang/laporan perbankan dll atau hanya menyertakan lampiran saja (isi email kosong), seperti terlihat pada gambar di bawah 5 – 7 di bawah ini:
Gambar 5, Contoh email yang di kirimkan oleh zepto Ransomware (.Zip file)
Gambar 6, Contoh email yang di kirimkan oleh zepto Ransomware (.docm file)
Gambar 7, Contoh file zepto Ransomware

Bagi anda pengguna antivirus G Data, file Zepto di deteksi sebagai Trojan.JS.Downloader, lihat gambar 8 di bawah ini
Gambar 8, Hasil deteksi antivirus G Data

Pada saat file Zepto yang mempunyai ekstensi .js dan .wsf di jalankan oleh user, Zepto ransomware akan secara otomatis mendownload file induk ke alamat url yang sudah ditentukan yang akan di simpan di direktori %TEMP% dengan nama file yang berbeda-beda (.exe) dan menjalankan file tersebut secara otomatis.

• C:\Document and Settings\%user%\Application Data\Temp [XP/2003]
• C:\User\%user% \Appdata\ Local\Temp\ [Vista/7/8/10]

Tetapi, jika user menjalankan file Zepto yang mempunyai ekstensi .docm, zepto akan menampilkan sebuah aplikasi MS Word dan Zepto tidak akan aktif secara otomatis kecuali jika fitur macros pada aplikasi Ms.Word aktif. 

Jika macros pada aplikasi Ms.Word tidak aktif, maka akan menampilkan pesan notifikasi “Security Warning” yang menginformasikan bahwa macros pada aplikasi Ms.Wrod anda belum aktif (lihat gambar 9). Jika anda klik tombol [Option] dan memilih opsi [enable this content] maka secara otomatis akan mengaktifkan Zepto ransomware (lihat gambar 9).
Gambar 9, Notifikasi untuk mengaktifkan macro Microsoft Word Document saat menjalankan file Zepto Ransomware
Gambar 10, Notifikasi untuk mengaktifkan macro Microsoft Word Document saat menjalankan file Zepto Ransomware

Registri Windows
Setelah Zepto Ransomware aktif, ia akan membuat string pada registry berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- %random% = C:\User\%user%\AppData\Local\Temp\%file acak%.exe atau C:\Document and setting\%user%\Local Settings\Temp\%file acak%.exe

Enkripsi data pada folder yang di share dan merubah ekstensi file menjadi .zepto
Kemudian Zepto ransomware akan enkripsi file yang mempunyai ekstensi yang sudah ditentukan baik pada komputer lokal yang sudah terinfeksi maupun pada folder/drive yang di mapping/share (full akses).

Zepto ransomware akan merubah nama file yang di enkripsi dengan karakter acak dan akan merubah ekstensi file menjadi .zepto dengan format: 
[8_hexadecimal]-[4_hexadecimal]-[4_hexadecimal]-[4_hexadecimal]-[12_hexadecimal].zepto
Contohnya : file test.jpg, akan diubah menjadi 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto.
Gambar 11, contoh file yang sudah di enkripsi oleh Zepto Ransomware

Catatan:
Saat ini file yang sudah di enkripsi oleh Zepto Ransomware belum dapat di pulihkan/dekripsi.

Berikut beberapa ekstensi file yang akan di serang oleh Zepto ransomware
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat, .123, .3dm, .3ds, .3g2, .3gp, .asp, .cpp, .dot, .php, .pps

Menghapus Shadow Volume Copies
Untuk mempersulit recovery file yang sudah di enkripsi, Zepto ransomware akan menghapus Shadow Volume Copies dengan memanfaatkan file vssadmin.exe yang sudah di sediakan oleh Windows dengan menjalankan perintah vssadmin.exe Delete Shadows /All /Quiet

Memulihkan file yang sudah di enkripsi Zepto ransomware
Sudah jatuh tertimpa tangga, mungkin itu perumpamaan yang tepat bagi mereka yang telah menjadi korban akibat keganasan Zepto ransomware, karena si korban harus menebus data yang sudah di “sandera” oleh Zepto Ransomware sekitar 4-5BT dengan menggunakan Bit coin melalui jalur Tor Browser sehingga sulit di lacak. 

Untuk mengetahui cara mendapatkan kembali file yang sudah di enkripsi, Zepto ransoware akan menginformasikan nya pada file dengan nama _%x%_HELP_instructions.html, (%x%, adalah acak, contoh nya: _0_HELP_instructions.html) yang biasanya akan di simpan di folder desktop (“%Userprofile%\Desktop\Desktop _%x%_HELP_instructions.txt”) atau di setiap folder yang datanya di enkripsi oleh Zepto ransomware.
Gambar 12, Lokasi penyimpanan file _HELP_instructions.html

Menurut pantauan Vaksincom, saat ini belum ditemukan cara untuk dekripsi file yang dienkripsi oleh Zepto tanpa membayar uang tebusan yang diminta. Jika anda menjadi korban Zepto dan mengharapkan data anda kembali, kami sarankan anda membackup data yang dienkripsi pada media yang terpisah seperti DVD Rom dan simpan, sambil berdoa semoga metode untuk dekripsi Zepto ini segera ditemukan atau pembuat Zepto ini insyaf seperti pembuat Teslacrypt dan membagikan kunci dekripsi secara gratis.

Untuk melakukan pembayaran tebusan hanya dapat dilakukan dengan menggunakan jalur khusus Tor Browser agar tidak mudah di lacak, link downoad aplikasi Tor Browser dan alamat tebusan dapat anda lihat pada file _HELP_instructions.html yang sudah dibuat oleh Zepto Ransomware, untuk alamat tebusan berupa nomor identifikasi ini akan berbeda-beda. Lihat gambar 13 dan 14 di bawah ini.
Gambar 13, Informasi file _HELP_instructions.html
Gambar 14, Informasi pembayaran tebusan Zepto Ransomware

Kami menyarankan agar anda tidak melakukan pembayaran tebusan tersebut karena tidak ada jaminan bahwa mereka akan memberikan private key untuk mengembalikan data yang sudah di enkripsi.

Cara menghapus Zepto Ransomware secara manual
  • Sebaiknya lakukan pembersihan pada mode “Safe mode”
  • Hapus file yang ada di direktori “C:\Users\Vaksin\AppData\Local\Temp\%file acak%.exe” [Windows Vista/7/8.x] atau “C:\Document and Settings\%User%\Local Settings\Temp\%file acak%.exe” [Windows XP/2003]
  • Hapus registri HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o %random% = C:\User\%user%\AppData\Local\Temp\%file acak%.exe atau C:\Document and setting\%user%\Local Settings\Temp\%file acak%.exe
  • Untuk pembersihan optimal, silahkan scan dengan menggunakan antivirus yang up-to-date dan dapat mengidentifikasi Zepto dengan baik seperti G Data Antivirus.
  • Untuk data yang sudah di enkripsi oleh Zepto ransomware, saat ini belum dapat di dekripsi

Tips dan Trik melindung komputer dari Ransomware
  1. Backup data anda secara teratur pada media yang terpisah/cloud.
  2. Pasang antivirus yang up-to-date di semua komputer yang terhubung dengan jaringan dan internet dan pastikan antivirus yang di pasang berjalan dengan baik.
  3. Update security patch Windows dan aplikasi lain yang di install pada komputer anda.
  4. Berhati-hati saat akses website (hindari download dari website yang tidak dikenal)
  5. Share pada folder yang di perlukan saja dan batasi user yang dapat mengakses folder tersebut. Begitu juga dengan mapping drive. Jika memungkinkan tidak menerapkan share full akses.
  6. Hati-hati pada saat menerima email yang mengandung attachment yang meminta anda untuk mengaktifkan fitur macro ms.word pada saat membuka attachment tersebut. Matikan/disable fitur macro pada aplikasi Microsoft Word Document.
  7. Hati-hati pada saat menerima email yang disertai attchment yang di kompresi (dengan ekstensi exe/scr/js/docm atau ekstensi ganda), khusus nya dari orang yang tidak dikenal, sebaik nya anda hapus atau hubungi administrator IT anda.
Salam,

Adang Juhar Taufik

info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: