Thor ransomware from Asgard

16 November 2016
Hikayat ransomware dari Asgard
Setelah Locky dan Odin, sekarang giliran Thor
Penamaan malware kerap membuat kita tersenyum karena kreativitas pembuat malware yang kerap menyelipkan kata tertentu di badan malware atau keisengan pihak analis malware yang memberikan nama yang unik. Katakan virus lokal rontokbro yang sebenarnya berasal dari spesies Elang Jawa Brontok yang memang sengaja diselipkan oleh pembuatnya, namun analis pertama malware ini tidak mau mengikuti maunya pembuat malware dan membalik urutan namanya sehingga menjadi rontrokbro. Ada lagi malware gnurbulf yang sebenarnya merupakan pembacaan terbalik dari Flu Burung yang sedang populer saat itu. Era ranwomare ini juga terjadi hal yang sama dimana salah satu ransomware yang ngetop di awal tahun 2016 menamakan dirinya dengan Locky, mungkin maksudnya adalah pengunci dalam bahasa Inggris karena ransomware ini memang melakukan aksi jahat mengunci (mengenkripsi) file korbannya dan meminta uang tebusan untuk dekripsi. Selain itu, file yang telah dienkripsi akan mendapatkan ekstensi .locky untuk membedakan dirinya dengan ransomware lain. Namun karena saat munculnya Locky bersamaan dengan beredarnya film Thor, maka banyak yang menyebut ransomware ini dengan nama Loki, karakter antagonis adik tiri Thor. Mungkin karena nama ini mudah diingat, maka pembuat malware memutuskan untuk mengadopsi penamaan ini untuk varian malware penerus locky dan kali ini ejaan nama yang digunakan persis sama dengan dewa Asgard dalam komik Marvel dan muncullah varian locky berikutnya yang akan mengganti data korban yang dienkripsinya dengan ekstensi .odin yang merupakan ayah Thor dan Loki. Ransomware Odin inipun merajalela menggantikan Locky dan merajai tangga ransomware di kuartal 3 tahun 2016 bersanding dengan Cerber. Setleah menjalankan aksinya beberapa bulan, kembali muncul varian penerus Locky dan setelah menggunakan ekstensi .odin, file yang menjadi korban eknripsinya akan diganti menjadi .thor. Semoga dimasa depan kita tidak mendapatkan ransomware .spiderman atau .batman. Untuk informasi lebih lengkap tentang ransomware dari Asgard dan ancaman ransomware teranyar Thor silahkan ikuti artikel di bawah ini.
Anda tentu masih ingat dengan Locky ransomware yang muncul pertama kali di bulan Februari 2016, di saat semua varian ransomware akan menggunakan file aplikasi (.exe) dan java script (.js) untuk mengelabui user agar dapat menginfeksi komputer, Locky ransomware selain menggunakan java script (.js) juga akan menggunakan cara lain dengan memanfaatkan celah macro yang ada pada aplikasi Microsoft Word dengan menyertakan sebuah file dalam bentuk .DOC atau .DOCM yang berisi sederetan kode untuk mendownload file induk utama Locky ransomware, sebenarnya trik ini mempunyai kelemahan karena harus mengaktifkan macro dari aplikasi Microsoft Word karena secara default Microsoft Word akan mematikan macro, tetapi hal ini tidak menjadi masalah karena dengan sedikit trik yang sudah di siapkan maka Locky ransomware akan dengan mudah menginfeksi komputer korban. (lihat gambar 1 dan 2)
Gambar 1, Contoh file lampiran Locky ransomware
Gambar 2, Notifikasi untuk mengaktifkan macro Microsoft Word

Hal yang cukup menarik dan membedakan dengan ransomware sebelumnya adalah Locky ransomware mempunyai kemampuan untuk melakukan enkripsi file tidak saja pada folder yang di mapping tetapi mempunyai kemampuan untuk melakukan enkrispsi pada folder yang di share (dengan full access) dan akan merubah ekstensi setiap file yang di enkripsi menjadi .locky. (lihat gambar 3)
Gambar 3, file yang di enkripsi oleh Locky ransomware

Locky ransomware (locky) akan membuat file _Locky_recover_instructions.txt. di setiap folder yang di enkripsi yang berisi cara mendapatkan kembali file yang sudah di enkripsi. (lihat gambar 4)
Gambar 4, informasi tebusan Locky ransomware (locky)

Locky ransomware part II, Odin
Setelah menjalankan aksinya beberapa bulan dan mulai terdeteksi oleh pembuat antivirus, Locky ransomware kembali mengeluarkan varian baru dengan menggunakan metode yang sama dengan varian sebelumnya, tetapi kali ini Locky ransomware akan memanfaatkan fitur macro yang ada pada aplikasi Microsoft Excel dengan menyertakan sebuah file yang mempunyai ekstensi .XLS pada email SPAM yang di kirim. (lihat gambar 5 dan 6)
Gambar 5, Contoh email yang di kirimkan oleh Odin ransomware
Gambar 6, Contoh file lampiran ransomware Odin

Mengeksploitasi file .dll
Jika pada varian sebelumnya Locky ransomware akan mendownload file aplikasi (.exe) sebagai file utama untuk melakukan serangkaian aksi termasuk untuk enkripsi file, maka Odin akan menggunakan file .dll dengan memanfaatkan file rundll32.exe untuk menjalankan script yang ada di dalamnya dengan perintah C:\Windows\System32\rundll32.exe %lokasi file dll ransomware% (contoh: C:\Windows\System32\rundll32.exe C:\User\%User%\ AppData\Local\Temp\vilarons.dll,qwerty), jika kita menggunakan aplikasi task manager atau tools sejenis maka akan muncul proses dengan nama rundll32.exe dan jika anda lihat properties dari proses tersebut dapat di lihat nama file dan lokasi file dll dari ransomware tersebut (biasanya file dll tersebut akan di simpan di folder %TEMP%). (lihat gambar 7 dan 8)

• C:\Users\Vaksin\AppData\Local\Temp (Windows Vista/7/8/10)
• C:\Document and Settings \%User% \Local Settings \Temp (Windows XP/2003)
Gambar 7, Task Manager melihat proses Odin ransomware
Gambar 8, Lokasi file DLL Odi ransomware

Odin juga mempunyai kemampuan untuk untuk melakukan enkripsi file pada folder yang di mapping maupun di share full access dan akan merubah ekstensi setiap file yang di enkripsi menjadi .odin (lihat gambar 9)
Gambar 9, File yang di enkripsi oleh Odin ransomware

Odin akan membuat file (ekstensi .bmp/.txt/.html, contoh _%x%_HOWDO_Text.html) disetiap folder yang di enkripsi yang berisi permintaan tebusan dan langkah-langkah yang harus diikuti dalam membayar tebusan guna mengembalikan file yang sudah di enkripsi. (lihat gambar 10)
Gambar 10, Permintaan ransom Odin

Untuk Informasi lebih lengkap mengenai sepak terjang Odin bisa dilihat di https://www.vaksin.com/1016-odin

Locky ransomware part III, Thor
Setelah ayah tiri Loki yang dijadikan sebagai nama ekstensi file di kuartal 3 2016, kini giliran suadara tiri Loki yang lebih terkenal dijadikan sebagai nama ekstensi file yang di enkripsi dan muncullah Thor ransomware di kuartal 4 206.

Thor ransomware juga memanfaatkan email sebagai media penyebaran nya dengan menyertakan sebuah lampiran dalam bentuk file .JS atau .VBS yang sudah terkompresi (RAR/ZIP).

Isi email yang dikirimkan berbeda-beda dan biasannya berisi informasi tagihan dengan melampirkan lampiran dengan nama yang berbeda-beda. (lihat gambar 11, 12 dan 13)
Gambar 11, Contoh email yang di kirimkan oleh Thor ransomware
Gambar 12, Contoh File yang di sertakan pada email Thor ransomware
Gambar 13, G Data Antivirus mendeteksi Thor Ransomware

Trojan downloader
File yang di sertakan pada email bukanlah file induk ransomware melainkan sebuah trojan yang bertugas untuk mengunduh file utama (dll file dengan nama acak) pada alamat server (website) yang sudah dipersiapkan terlebih dahulu, file yang berhasil diunduh akan di simpan ke folder %Temp% lalu dijalankan secara otomatis, file utama inilah yang akan melakukan serangkaian tindakan termasuk untuk melakukan proses enkripsi terhadap file yang mempunyai ekstensi yang sudah ditentukan baik pada komputer korban maupun pada folder yang di share/mapping full access dan akan mengganti ekstensi file menjadi .thor sebagai identitas dirinya. Jika anda menggunakan antivirus yang terupdate dan dapat mengidentifikasi ancaman ransomware dengan baik, maka proses tersebut dapat dihentikan (lihat gambar 14). Namun karena cepatnya pergantian varian ransomware, Vaksincom menyarankan anda untuk melakukan backup atas semua data penting anda dan simpan secara offline atau gunakan cloud storage yang memiliki fasilitas backup versi dokumen secara otomatis.
Gambar 14, G Data web protection blok download file ransomware

Lokasi folder %TEMP% ini berbeda-beda:
• C:\Users\%user%\AppData\Local\Temp (Windows Vista/7/8/10)
• C:\DOCUMENT AND SETTINGS\%User% \LOCAL SETTINGS\Temp (Windows XP/2003)

Ransomware hanya aktif pada komputer korban
Menurut pengetesan lab Vaksincom, saat ini semua varian Locky ransomware hanya aktif pada komputer korban dan tidak dapat menyebarkan infeksinya kekomputer lain dalam jaringan, namun ia mampu melakukan enkripsi file yang ada pada semua folder / file di jaringan yang memberikan hak akses full.

Memulihkan file yang di enkripsi
Untuk mengembalikan file yang sudah di enkripsi, Locky ransomware (thor) akan membuat file (dengan ekstensi .bmp/.txt/.html, contoh nya _%x%_WHAT_is.html) yang akan di simpan di setiap folder yang di enkripsi, yang berisi informasi untuk melakukan tebusan sebesar 4 BTC untuk mendapatkan kode dan tools untuk memulihkan file yang sudah di enkripsi. (lihat gambar 15 dan 16)
Gambar 15, Permintaan tebusan Thor ransomware
Gambar 16, Situs Informasi tebusan Thor ransomware

Catatan: 
Sampai saat ini belum ada tools yang dapat memulihkan file yang sudah di enkripsi oleh Locky ransomware (locky/odin/thor) tanpa membayar tebusan yang diminta.

Tips melindung komputer dari Locky ransomware
  1. Backup data anda secara teratur dan simpan secara offline.
  2. Gunakan jasa cloud storage yang memiliki fitur backup versi file secar otomatis untuk file yang sering anda akses atau gunakan.
  3. Pasang antivirus di semua komputer yang terhubung dengan jaringan dan internet dan pastikan antivirus yang di pasang berjalan dengan baik dan selalu up-to-date.
  4. Update security patch Windows dan aplikasi lain yang di install pada komputer anda. Gunakan program antivirus yang memberikan fitur Exploit Protection guna menghindari eksploitasi yang akan mengakibatkan instalasi ransomware.
  5. Share pada folder yang di perlukan saja dan batasi user yang dapat mengakses folder tersebut. Jika memungkinkan tidak menerapkan share full akses.
  6. Matikan/disable fitur macro pada aplikasi Microsoft Word Document dan Microsoft Excel dan ekstra hati-hati jika diminta mengaktifkan macro.
  7. Hati-hati pada saat menerima email yang mengandung lampiran yang meminta anda untuk mengaktifkan fitur macro, .zip. FIle pengunduh ransomware selain datang dalam file MS Office juga datang dalam bentuk .JS dan .VBS yang dikompres dalam bentuk .zip.
Salam,

Aj Tau
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: