LowLevel4 Ransomware targeting RDP Terminal Server

4 November  2015
LowLevel4
Ransomware Pengincar RDP Terminal Services
Tahun 2015 sudah dapat dipastikan sebagai tahun Ransomware dimana para pengguna komputer selalu berada dalam ancaman ransomware. Ada beberapa ransomware yang mendominasi seperti varian Cryptowall yang notabene menjadi “raja” ransomware dan Teslacrypt yang tidak berhenti berinovasi dan terakhir memberikan ciri khas ekstensi .ccc pada setiap file yang di enkripsinya. Pada umumnya ransomware yang menyebar merupakan produk malware yang sudah berjalan otomatis dan pembuatnya tidak terlibat secara langsung dalam proses infeksi dan enkripsi data. Proses manual yang dilakukan kemungkinan hanya pada saat pengecekan jika uang tebusan Bitcoin sudah diterima maka pembuatnya akan mengirimkan kunci dekripsi ke komputer korbannya. Jadi ibaratnya ransomware yang beredar merupakan produk fastfood dan keterlibatan chef sangat rendah. Sama dengan persaingan bisnis kuliner dimana mulai bermunculan restoran yang mengandalkan sentuhan chef berpengalaman seperti Sushi Masa di Muara Karang yang sekalipun lokasinya terpencil namun tetap di datangi karena keunikannya adalah sentuhan personal chefnya. Seiring dengan ketatnya persaingan ransomware kelihatannya pangsa pasar korban yang disasar sudah penuh untuk ransomware baru sehingga mulai muncul terobosan baru dan muncul ransomware baru dengan nama LowLevel04. Pada dasarnya LovLevel04 adalah ransomware, namun keunikan yang membedakan dengan ransomware lain adalah keunikan dalam penyebarannya. Jika ransomware lain mengandalkan email, website dan jaringan intranet sebagai sasaran penyebarannya, maka LowLevel04 membutuhkan sentuhan personal dari operatornya untuk melakukan bruteforce pada komputer yang menjalankan Terminal Server dan hal ini melakukan secara manual (sampai saat artikel ini dibuat). Sasaran utamanya adalah komputer yang menggunakan Terminal Server atau Remote Desktop Protocol. Tekniknya adalah menggunakan Bruteforce terhadap password Rerminal Server.

Jika file di komputer anda mendadak tidak bisa dibuka dan anda mendapatkan pesan :


Good day, isn't it ?
What happened to your files?
All your files were protected by a strong encryption RSA-2048
More information about the encryption keys using RSA-2048 can be found heres
http://en.wikipedia.org/RSA
What does this mean?
This mean that the structure and data within your files have been irrevocably change and only we can help you to restore it.
How this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 – public and private
All your files were encrypted with the public key, which has been transferred to your computer via the internet.
Decrypting of your files is only possible with the help of the private key and decrypt program which is on our server

You can buy our tool with private key that will recover all your files. It cost's 4 bitcoins and you need send it to bitcoin address ******** (alamat Bircoin. 1 bitcoin ~= 240 US $.

You can make bircoin payment wihtout any bitcoin software. For this you can use one of this bitcoin exchanger from this exchange list to send us bitcoins

https://crypto.bg
bitcoini.com
https://bitpay.com
www.plus500.bg/Trade-Bitcoins
bircoinexchangerate.org/c/BGN
https://localbitcoins.com/country/BG
www.btc-e.com

Our contact mail enrty1227170@gmail.com. Additional contact enrty1234888@india.com (email us here if we don't answer from gmail.com)

Your own personal key: *******. Send us your own personal key after payment and we will send you decryption tools


Berarti anda sudah menjadi korban dari LowLevel04. Adapun sistem operasi yang rentan menjadi sasaran bruteforce terutama adalah komputer dengan OS Windows Server dan mengaktifkan fitur Terminal Server. Namun, sekalipun komputer anda tidak menggunakan OS server, dan mengaktifkan Terminal Server, maka komputer anda juga rentan terserang oleh LowLevel04.

Kabar buruknya, selain ancaman Bruteforce, Terminal Server di Windows juga memiliki celah keamanan yang jika tidak ditutup dengan baik akan mengakibatkan sistem anda dikuasai oleh penyerang. Adapun beberapa celah keamanan yang menyerang Terminal server adalah :

  • MS12-020, celah keamanan kritikal dan harus ditutup karena memungkinka Bruteforce pada password Terminal Server. OS yang rentan adalah Windows XP SP3, XP Pro x64 SP2, Windows Vista SP2, Windows 7 SP1, Windows Server 2003 SP2, Windows Server 2008 SP 2
  • MS15-067 dan MS12-082 keduanya merupakan celah keamanan RDP yang bisa mengakibatkan eksekusi kode remote.

Mitigasi
Salah satu cara untuk memastikan anda tidak menjadi korban LowLevel04 adalah tidak mengaktifkan Terminal Server. Sebagai informasi protokol RDP tidak diaktifkan secara otomatis pada settingan awal (default) dan harus diaktifkan secara manual oleh pengguna komputer. Jadi anda bisa melakukan pengecekan dan pastikan kalau RDP tidak pernah aktif.

Namun, jika anda administrator server dan memang membutuhkan Terminal Server dalam administrasi banyak server dengan berbagai fungsi penting untuk mendukung jalannya perusahaan, ada beberapa tips yang bisa anda jalankan untuk mencegah menjadi korban eksploitasi :

  • Pastikan sistem semua server dan komputer yang menjalankan Terminal Server memiliki update patch terbaru dan semua celah keamanan telah ditutup. Hal in penting karena kode eksploitasi celah keamanan seperti MS12-020 sudah tersedia dan tersebar di internet. http://www.pcworld.com/article/252092/patch_now_microsoft_rdp_exploit_code_is_in_the_wild.html
  • Jika memungkinkan gunakan program antivirus yang memiliki “Exploit Protection” seperti G Data yang mampu melindungi dari eksploitasi celah keamanan sekalipun anda lupa / belum menambal celah keamanan tersebut.
  • Gunakan Password yang baik dengan kombinasi huruf kecil / besar, tanda baca dan karakter yang susah ditebak / bruteforce.
  • Gunakan password lockout policy, jadi jika terjadi percobaan login yang berulang akan otomatis diblok oleh sistem dan administrator mendapatkan peringatan.
  • Kelola hak instalasi software di server dengan baik, biasanya hanya akun administrator yang dimonitor dan diproteksi dengan baik yang berhak instal software.
  • Gunakan program otomatis untuk memblok serangan Bruteforce.
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: