Teslacrypt by javascript

11 Desember 2015
HATI-HATI !!!
Ransomware Teslacrypt baru datang dalam lampiran email .zip
SECURITY BREAKING NEWS !!!
Para pengguna komputer Indonesia harap berhati-hati khususnya jika menerima email yang disebarkan pada minggu ke dua Desember 2015 yang mengandung lampiran .zip dan jika dimekarkan akan menjalankan javascript yang ditengarai menjalankan varian ransomware baru. Adapun contoh email yang datang seakan-akan sebagai korespondensi atas tagihan yang salah dikirimkan (lihat gambar 1). Namun email tersebut dirancang sedemikian rupa sehingga penerimanya akan mengklik lampiran yang diberikan dan kemungkinan besar akan mengaktifkan ransomware baru yang saat ini belum terdeteksi oleh program antivirus.
Gambar 1, Ransomware yang datang bentuk javascript yang dikompres .zip

Email akan datang dalam format sebagai berikut :

Dear Client,

This e-mail is pursuant to your contract with Foreman&Clark Ltd. for our services date November 15, 2015 for the amount of $8,860.
Your failure to pay as per the December 1, 2015 invoice equals to the breach of our contract.

Please, acknowledge the receipt of this e-mail within three business days. Please, make your payment to the corresponding account, stated in the invoice attached no later than January 2, 2016.
In case you fail to respond to this e-mail we well be compelled to pursue all the necessary legal actions.

Thank you beforehand for your attention to this case.
Looking forward to hearing back from you.

Sincerely,
Bryon Mcmahon
Sales Manager

Foreman&Clark Ltd.
256 Raccoon RunSeattle,
WA 98101

Dengan lampiran yang bernama “copy_invoice_(angkaacak).zip” yang jika dimekarkan akan membuka secara otomatis file javascript (lihat gambar 2)
Gambar 2, Lampiran .zip yang sebenarnya script downloader Javascript

Menurut pengamatan Vaksincom, bagi orang awam email ini kemungkinan besar akan di identifikasi sebagai email yang salah kirim oleh penerima email. Yang menjadi masalah, yang berpotensi menjadi korban justru orang yang baik hati yang mengira email ini salah kirim dan ingin membantu. Karena dalam email tersebut berisi ancaman jika email tidak di balas maka pengirim email akan melakukan tindakan hukum (legal action). Jika penerima berbaik hati membuka email ini dan ingin mengetahui sebenarnya apa yang terjadi, maka ia akan mengaktifkan ransomware ini dan dalam waktu yang tidak lama file-file penting di komputernya dan di folder open share akan terenkripsi dan ia akan menerima pesan sebagai berikut (lihat gambar 3)
Gambar 3, Permintaan tebusan setelah Teslacrypt menjalankan aksinya mengenkripsi data komptuer korbannya

Sebenarnya javascript yang terkandung dalam lampiran tidak mengandung ransomware, namun sekali dijalankan ia akan menghubungi situs malware yang telah dipersiapkan :

softextrain6*.com
myextern**ip.com - 78.47.139.10*
kochstudiomaash**.de 213.185.88.13*

yang akan mengunduh ransomware yang telah dipersiapkan.

Menurut analisa yang dilakukan oleh Lab Vaksincom, aksi yang akan dilakukan oleh javascript terlampir jika dijalankan adalah :
  • Melakukan request http untuk memastikan malware terhubung ke internet
  • Mencari alamat IP eksternal yang telah ditentukan
  • Melakukan proses dengan waktu tunda yang panjang, kemungkinan besar dilakukan untuk mengelabui proses analisa malware.
  • Mencuri informasi rahasia dari peramban lokal seperti kredensial username dan password.
  • Setelah berhasil menghubungi situs yang telah dipersiapkan, akan mengeksekusi proses dan menginjeksikan kode yang telah dipersiapkan pada saat unpacking.
  • Menginstalkan dirinya pada autorun di Windows startup.

Vaksincom menyarankan anda untuk selalu berhati-hati dan tidak sembarangan menjalankan lampiran dalam bentuk apapun, sekalipun dari orang yang anda kenal. Untuk menghindari resiko data di enkripsi ransomware sebaiknya anda menghindari full sharing data anda dan selalu backup data anda secara teratur dan simpan secara terpisah / offline.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom

Share by: