Odin, Ransomware dalam lampiran MS Excel

13 Oktober2016
Locky Ransomware versi Odin
Hati-hati dengan lampiran MS.Excel
Penyebaran ransomware saat ini sudah dalam tahap menghawatirkan dengan menggunakan berbagai cara untuk mendapatkan korban sebanyak-banyak nya. Walaupun ransomware dapat menyebar melalui internet, tetapi email masih menjadi “primadona” yang akan digunakan oleh ransomware untuk menyebarkan dirinya, hal ini di jejak komunikasi email tercatat dengan baik dan diakui sebagai bukti legal dalam komunikasi bisnis.

Baru...Ransomware dalam file lampiran Microsoft Excel
Seperti yang sudah kita ketahui bahwa kebanyakan ransomware yang menyebar saat ini akan menggunakan fasilitas email untuk menyebarkan dirinya dengan menyertakan sebuah atau beberapa attachment dengan nama acak dan mempunyai ekstensi file yang bervariasi seperti .JS, .DOCM, .DOC, .EXE, PDF.EXE atau .WSF dan biasanya file tersebut akan di kompresi dengan menggunakan aplikasi Winzip/Winrar/ARJ.
Maraknya penyebaran ransomware dengan metode tersebut membuat user semakin “cerdas” untuk tidak menjalankan file attachment tersebut (walaupun masih ada user yang agak keterlaluan dan tetap terjebak menjalankan file tersebut), hal ini tentu akan menghambat penyebaranransomware. Belajar dari hal tersebut, untuk mengelabui user kini ransomware (seperti Locky varian terbaru) mulai menggunakan alternatif lain dengan melampirkan sebuah file Microsoft Excel (.xls) yang akan mengeksploitasi macros yang ada pada aplikasi Microsoft Excel (.xls) dengan menanamkan script macro pada file tersebut yang akan aktif jika fasilitas macros yang ada pada Microsoft Excel di aktifkan. Jika fasilitas macros tersebut tidak aktif maka akan muncul permintaan untuk mengaktifkan fasilitas macros tersebut.
Isi email yang dikirimkan berbeda-beda dan biasannya berisi informasi tagihan dengan nama lampiran yang beda-beda (contoh: %angka acak%_Invoice.xls).
Gambar 1, Contoh email yang di kirimkan oleh Locky ransomware
Gambar 2, Contoh File yang di sertakan pada email Locky Ransomware
Gambar 3, Pesan yang muncul saat menjalankan file attachment locky ransomware (.xls)

Jika fasilitas macros Microsoft Excel tidak diaktifkan, akan muncul pesan seperti terlihat pada gambar 4 di bawah ini
Gambar 4, Pesan konfirmasi untuk mengaktifkan fasilitas macros pada aplikasi Microsoft Excel

Pada saat user klik tombol [Options] maka akan muncul opsi untuk mengatifkan macros Microsoft Excel (lihat gambar 5)
Gambar 5, Konfirmasi untuk mengaktifkan macros Microsoft Excel
Gambar 6, Contoh script macro yang di tanamkan pada file attcahment locky ransomwre

.DOC/.DOCM vs .XLS
Seperti yang kita ketahui bahwa hampir sebagian pengguna aplikasi MS.Word tidak menggunakan fasilitas macros yang sudah di sematkan oleh Mcrosoft sehingga user dapat mematikan (disable) fasilitas tersebut sehingga ransomware tidak akan aktif pada saat user menjalankan file ransomware.
Tetapi, berbeda dengan MS Word, pengguna MS Excel khususnya bagian keuangan banyak yang memanfaatkan fasilitas macros (seperti accounting/purchasing) untuk membantu pekerjaan mereka, hal ini menyebabkan karyawan baigna keuangan khususnya yang menggunakan Macro harus ekstra hati-hati dalam membuka lampiran file Excel dari email.

Bagi mereka yang tidak menggunakan fasilitas macros yang ada pada aplikasi MS Word maupun MS Excel dapat mematikan fasilitas tersebut agar script ransomware tidak dapat aktif.

Trojan downloader
File yang di sertakan pada email bukanlah file induk ransomware melainkan hanya sebuah trojan downloader yang bertugas untuk mendownload file utama pada alamat server (website) yang sudah di tentukan, file utama yang berhasil di download akan di simpan ke folder %Temp% atau folder lain yang sudah ditentukan lalu akan menjalankan file tersebut secara otomatis, file utama inilah yang akan melakukan serangkaian tindakan termasuk untuk melakukan proses enkripsi terhadap file yang mempunyai ekstensi yang sudah ditentukan baik pada komputer korban maupun pada folder yang di share/mapping full access dan akan mengganti ekstensi file menjadi .ODIN sebagai identitas dirinya. 

Ransomware hanya aktif pada komputer korban
Saat ini ransomware hanya aktif pada komputer korban dan tidak menyebarkan dirinya ke komputer lain dalam jaringan, walaupun demikian ransomware tidak hanya akan melakukan enkripsi file pada komputer korban saja, tetapi akan melakukan enkripsi file yang ada pada folder yang di share/mapping yang mempunyai akses full.

Memulihkan file yang di enkripsi
Untuk mengembalikan file yang sudah di enkripsi, dengan “senang hati” Locky ransomware akan menjelaskan dengan menuangkan pada sebuah file (dengan ekstensi .bmp/.txt/.html _%x%_HOWDO_Text.html) yang akan di simpan pada setiap folder yang di enkripsi, yang isi nya tidak lain adalah panduan untuk melakukan tebusan dengan sejumlah “mahar” untuk mendapatkan kode dan tools untuk memulihkan file yang sudah di enkripsi.
Gambar 7, Contoh file yang di enkripsi oleh Ransomware Locky
Gambar 8, Tebusan Locky ransomware
Gambar 9, Contoh Informasi tebusan Locky ransomware

Catatan: 
Sampai saat ini belum ada tools yang dapat memulihkan file yang sudah di enkripsi oleh Locky ransomware

Locky Ransomware aktif menggunakan file DLL
Untuk mengelabui user dan mempersulit proses penghapusan ransomware, saat ini file induk yang digunakan oleh Locky ransomware (metode ini juga digunakan oleh zepto ransomware varian terbaru) tidak lagi menggunakan file EXE tetapi akan menggunakan file DLL dengan memanfaatkan file RUNDLL32.exe Windows untuk menjalankan script yang ada di dalamnya dengan perintah C:\Windows\System32\rundll32.exe %lokasi file DLL ransomware%

Contoh :
C:\Windows\System32\rundll32.exeC:\User\%User%\AppData\Local\Temp\vilarons.dll,qwerty

Hal ini tentunya akan menyulitkan user pada saat akan melakukan proses pembersihan karena proses tersebut tidak akan terlihat jika mengunakan aplikasi task manager atau aplikasi serupa.

Pertolongan Pertama Pada Korban Ransomware
  1. Putuskan komputer dari jaringan supaya mencegah ransomware mengenkripsi data open share di jaringan.
  2. JANGAN scan komputer anda dengan antivirus karena banyak antivirus yang akan menghapus jejak ransomware dan mempersulit proses identifikasi.
  3. Periksa data apa saja yang terenkripsi dan usahakan kembalikan dari backup.
  4. Jika data yang di enkripsi tidak memiliki backup, coba hubungi vendor antivirus anda dan coba teknik data recovery untuk mencari kemungkinan pengembalian data dengan Data Recovery.
    PENTING !!
    Jangan jalankan program data recovery dari harddisk dan komputer yang ingin anda recover. Jadikan slave. Jika nada ragu, sebaiknya hubungi vendor antivirus anda untuk mendapatkan bantuan.
  5. Jika karena pertimbangan tertentu anda memutuskan menghubungi pembuat ransomware / membayar ransomware untuk mendapatkan data anda, harap ingat beberapa hal :
  • TIDAK ADA JAMINAN data anda akan kembali setelah anda membayar tebusan yang diminta. Meskipun secara logis pemilik private key juga tidak memiliki keuntungan menyimpan Private Key anda, ia hanya dapat menggunakan untuk memeras anda seperti meminta kenaikan uang tebusan.
  • Makin lama data anda terenkripsi, biasanya nilai tebusan yang diminta akan makin tinggi. Begitu pula jika yang terenkripsi adalah server database, biasanya nilai tebusan yang diminta akan membengkak menjadi 1 – 2 bitcoin, > US $ 1.000.
  • Minta bukti dekripsi 1 file yang terenkripsi terlebih dahulu untuk memastikan bahwa pembuat ransomware memiliki Private Key untuk dekripsi file anda.
  • Hati-hati bertransaksi dalam mata uang bitcoin karena mata uang ini sangat berbeda dengan mata uang konvensional dan rentan pencurian khususnya jika komputer anda terinfeksi trojan. Siapapun yang mengetahui kredensial bitcoin anda bisa mencuri uang anda tanpa bisa anda cegah dan pihak berwajib sekalipun akan sulit menolong anda karena biasanya transaksi ini terjadi lintas negara dan sulit dilacak.
  • Karena rumitnya proses ini, Vaksincom menyarankan anda untuk menghubungi vendor sekuriti anda untuk membantu.
Salam,

Aj Tau
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: