All About CTB Locker

23 Januari 2015
All About CTB-Locker
Anda tentu masih ingat dengan virus “Cryotolocker” yang di deteksi G Data sebagai Trojan.GenericKD.1492946. Malware yang muncul di awal tahun 2014 dan telah menjadi kenangan yang tidak terlupakan bagi semua pengguna komputer terutama bagi mereka yang menjadi korban akibat keganasan virus tersebut.

Salah satu ciri yang dapat anda kenali jika komputer terinfeksi virus Cryptolocker adalah dengan berubahnya wallpaper Windows yang menginformasikan bahwa file penting anda seperti photo, video maupun data (xls, doc, ppt, pdf dll) telah di enkripsi oleh Cryptolocker terlihat pada gambar1.
20150123I_allaboutctb13
Gambar 1, Pesan yang akan di tampilkan CryptoLocker pada background desktop komputer
Cryptolocker datang melalui email dengan lampiran yang terkompresi  (ZIP/RAR), jika file tersebut di ekstrak akan berisi sebuah file (nama file acak) dan mempunyai ekstensi ganda, untuk mengelabui user ia akan menyamarkan dirinya sebagai sebuah file PDF dengan ekstensi ganda (PDF.EXE). Lihat gambar 2 dan 3 di bawah.
20150123I_allaboutctb06
Gambar 2, Email yang di kirimkan oleh virus CryptoLocker
20150123I_allaboutctb05
Gambar 3, Contoh file attachment virus CryptoLocker yang di kirim melalui email
Aksi yang akan dilakukan adalah akan meng-enckripsi setiap data yang di jumpai baik yang berada pada komputer lokal maupun yang berada pada folder/drive yang di mapping (dengan akses Full control).

Kisah Cryptolocker berakhir dengan tertnagkapnya pembuatnya oleh FBI dan para korban Cryptolocker yang masih menyimpan data yang di enkripsi bisa bersorak girang karena data mereka bisa dikembalikan karena kunci dekripsi tersebut bisa di dapatkan tanpa membayar sepeserpun.

CTB Locker
Pasca Cryptolocker mucnul banyak sekali malware berjenis ransomware seperti Cryptodefense, Cryptowall dan Torrentlocker yang meminta tebusan uang kepada korbannya dengan menyandera data korbannya. Namun di Indonesia ada satu penerus Cryptolocker yang di identifikasi sebagai CTB Locker yang sukses besar menjalankan aksinya dan pada pertengahan Januari 2015 berhasil menginfeksi ribuan komputer di seluruh Indonesia.

CTB Locker mempunyai  aksi  yang sama dengan pendahulunya,  perbedaan nya terletak pada jenis enkripsi yang digunakan yakni menggunakan sistem enkripsi “ECDH – Elliptic curve Diffie–Hellman” dan adanya penambahan ekstensi acak pada setiap file yang di enkripsi (contoh: data.doc.hnmhst), selain itu CTB hanya mengekripsi file Office yang mempunyai ekstensi XLS, DOC atau PPT (identik dengan MS. Office 2003) serta beberapa file dengan ekstensi lain seperti JPG, RAR, ZIP atau PDF.

Bagi para pelanggan Vaksincom, dengan update terbaru antivirus G Data sudah dapat mendeteksi dan membersihkan virus ini dengan baik. Untuk file lampiran dengan ukuran 29 kb antivirus G Data mendeteksi sebagai  CTB Locker  sedangkan untuk file induk yang mempunyai ukuran 688 KB dideteksi sebagai Trojan.CTBLockerKD.2095075 dan untuk file lampiran dengan ukuran 31 KB G Data mendeteksi sebagai   TrojanAgent.BHHW  sedangkan untuk file induk yang mempunyai ukuran 689 KB di deteksi sebagai Trojan.GenericKD.2093335. (lihat gambar 4)
20150123I_allaboutctb18
Gambar 4, G Data mendeteksi varian CTB Locker baik dalam lampiran email maupun antek-anteknya yang terinstal di komputer
Ciri Khusus CTB Locker
Anda dapat dengan mudah mengenali komputer yang sudah terinfeksi virus CTB Locker  yakni dengan munculnya sebuah gambar pada desktop yang berisi informasi  bahwa data yang ada pada komputer tersebut sudah di ekripsi serta informasi “mahar” yang harus anda bayar untuk mendapatkan private key yang digunakan memperbaiki file yang sudah di enkripsi tersebut seperti terlihat pada gambar 5.
20150123I_allaboutctb19
Gambar 5, "Surat cinta" dari CTB Locker meminta uang tebusan atas data anda yang telah di enkripsi
CTB Locker datang dalam bentuk email
Sama seperti pendahulunya (Cryptolocker), virus ini juga akan menyebar memanfaatkan fasilitas email dengan melampirkan file dalam bentuk ZIP/RAR (nama file acak) dengan ukuran sebesar 18 atau 19 kb, jika file tersebut di ekstrak dengan menggunakan program Winzip atau Winrar akan terdapat sebuah file dengan ukuran sebesar 29 kb atau 31 kb serta mempunyai ekstensi .SCR (Screen saver). Lihat gambar 6
20150123I_allaboutctb20
Gambar 6, Contoh email yang dikirimkan oleh CTB Locker
Secara default ekstensi file akan di sembunyikan oleh Windows, hal ini lah yang di manfaatkan oleh virus untuk mengelabui user sehingga user tidak menyadari bahwa file tersebut merupakan sebuah file aplikasi.
Oleh sebab itu, sebelum anda menjalankan sebuah file, sebaiknya anda tampilkan file tersebut dalam mode “detail” serta menampilkan ekstensi file sehingga anda dapat mengetahui ekstensi dan tipe file tersebut. (lihat gambar 7)
20150123I_allaboutctb10
Gambar 7, Contoh file yang di sertakan pada email 
Untuk menampilkan eksensi file, lakukan langkah berikut:
  • Buka [Windows Explorer]
  • Klik menu [Tools | Folder Options] atau klik [Organize | Folder and search Options]
  • Kemudian akan muncul layar “Folder Options”
  • Klik tabulasi [View]
  • Kemudian hilangkan tanda centang pada opsi “Hide extensions for known file types”
  • Kemudian klik [Apply | OK]

Sedangkan untuk menampilkan file dalam mode “detail” anda cukup klik menu [View | Detail] pada Windows Explorer

Keterangan file induk CTB Locker
  • Nama file acak
  • Mempunyai ekstensi (.SCR)
  • Ukuran file 29 - 31 KB (sesudah di ekstrak) atau 18 - 19 KB (sebelum di ekstrak)

Jika korbannya menjalankan file lampiran email yang disertakan pada email tersebut, CTB Locker akan menampilkan sebuah file (.rtf) hal ini dilakukan dengan tujuan untuk mengelabui user agar tidak curiga bahwa ia sudah menjalankan virus dan hanya membuka file .rtf (RIch Text File), lihat gambar 8
20150123I_allaboutctb01
Gambar 8, File pengalih yang di tampilkan pada saat user menjalankan virus
File induk CTB Locker
Jika CTB Locker sudah menginfeksi komputer, ia akan membuat file induk dengan nama acak (contohnya: 536066.exe atau cusvjbm.exe) dengan ekstensi .exe dan .rtf yang akan di simpan di direktori  berikut dengan ukuran file sebesar 688 atau 689 KB

  • Windows XP [C:\Document and Settings\%users%\Local Settings\Temp\ dan C:\Windows\Temp\]
  • Windows Vista/7/8 [C:\Users\%Users%\AppData\Local\ dan C:\Windows\Temp\]

Catatan: %Users% ini adalah user account yang di gunakan untuk login Windows (lihat gambar 10)
20150123I_allaboutctb14
Gambar 10, File induk virus CTB Locker
Registry Windows CTB Locker
Agar file tersebut dapat di aktifkan secara otomatis, ia merubah scren saver Windows dengan merubah  string pada registry berikut:

  • HKEY_USERS\S-1-5-21-1004336348-484763869-1343024091-1003\Control Panel\Desktop
  • SCRNSAVE.EXE = %path%\%file%.scr
  • HKEY_CURRENT_USER\Control Panel\Desktop
  • SCRNSAVE.EXE = "E:\Virus\CRYPTO~1\parvenue\parvenue\parvenue.scr"

Catatan:
  • %path% adalah lokasi file virus yang dijalankan oleh user (contoh: E:\Virus\CRYPTO~1\parvenue\parvenue\)
  • %file%, menunjukan nama file yang di jalankan oleh user (contoh: parvenue.scr)
20150123I_allaboutctb09
Gambar 11, Screensaver yang diubah oleh CTB Locker
CTB Locker juga akan membuat sebuah scheduled task dengan karakter acak (contohnya: qpgmegf.job) pada direktori [C:\Windows\tasks] untuk menjalankan dirinya sesuai dengan waktu yang telah ditentukan dan setiap kali komputer restart. File ini akan disembunyikan oleh virus agar tidak mudah di hapus oleh user. (lihat gambar 12 - 15)
20150123I_allaboutctb07
Gambar 12, scheduled task  yang dibuat oleh CTB Locker (Windows XP)
20150123I_allaboutctb02
Gambar 13, File yang akan di jalankan oleh CTB Locker (Windows XP)
20150123I_allaboutctb16
Gambar 14, CTB Locker akan aktif setiap kali komputer di restart
20150123I_allaboutctb08
Gambar 15, scheduled task  yang dibuat oleh CTB Locker (Windows Vista/7/8)
Enkripsi  file
Sama seperti yang dilakukan oleh pendahulunya, CTB Locker juga akan mengenkripsi file yang ada di komputer lokal (komputer yang sudah terinfeksi) maupun file yang ada pada folder yang di mapping (dengan akses full control) dengan ekstensi yang sudah ditentukan. Dari hasil pengujian lab Vaksincom pada sampel yang di dapatkan CTB Locker hanya akan meng-enkripsi file yang dibuat dengan menggunaan Ms.Office 2003 atau file yang mempunyai ekstensi XLS, DOC, PPT. Selain itu, CTB Locker  juga akan mengenkripsi file yang di kompresi (ZIP/RAR) serta file lain dengan ekstensi PDF atau JPG. Setelah itu, CTB Locker akan menambahkan ekstensi lain (karakter acak) dibelakang ekstensi asli (lihat gambar 16).

20150123I_allaboutctb03
Gambar 16, Contoh file yang di ekripsi
Melumpuhkan program Security dan antivirus
Metode ini juga di lakukan dengan tujuan untuk melumpuhkan program antivirus dengan enkripsi file pendukung dengan ekstensi tertentu.

Pada saat user membuka file yang sudah di ekripsi, maka akan muncul pesan  error seperti yang terlihat pada gambar 17
20150123I_allaboutctb12
Gambar 17, Pesan error saat membuka file yang sudah di enkripsi
20150123I_allaboutctb11
Gambar 18, File yang di enkripsi menjadi kacau jika dibuka tanpa dekripsi
Bagaimana mengambalikan data yang di enkrip?
Celakanya, sampai saat ini belum ada antivirus/tools yang dapat men-decrypt ulang file yang sudah di enkrip  oleh CTB Locker karena private key untuk decrypt file tersebut hanya di miliki oleh si pembuat virus, CTB Locker akan memberikan waktu selama 96 jam  sejak komputer terinfeksi  untuk menghubungi si pembuat virus guna mendapatkan Private key agar bisa dekrip file tersebut dengan “syarat dan ketentuan” Anda harus membayar “mahar” (sekitar 3 BitCoin atau $640) pembayaran tersebut dapat di lakukan melalui Bitcoin. Mahar tersebut lebih mahal dibandingkan dengan mahar yang di minta oleh si pembuat Cryptolocker yakni sebesar $300. Jika melewati batas waktu yang telah ditentukan si Mpunya Virus mengancam akan menghapus Private Key tersebut .Lihat gambar 19.
20150123I_allaboutctb15
Gambar 19, Informasi yang akan di tampilkan oleh CTB Locker
Bahkan anda sudah dibekali bukti untuk mengetahui daftar file yang dienkripsi dengan klik tombol [View]. Lihat gambar 20
20150123I_allaboutctb17
Gambar 20, Daftar file yang sudah di enkripsi  CTB Locker
CTB Locker juga akan menyertakan sebuah file yang berisi langkah-langkah untuk mendapatkan private key agar dapat memperbaiki file yang sudah di enkripsi yang di simpan di direktori [C:\Documents and Settings\%user%\My Documents\ atau C:\Users\Vaksin\Documents] dengan nama file acak (contohnya: Decrypt All Files cllpldb.txt). Lihat gambar 21
20150123I_allaboutctb04
Gambar 21, Langkah-langkah untuk mendapatkan private key yang di sertakan oleh CTB Locker
Mengganti  Wallpaper Windows
CTB Locker juga akan menampilkan pesan lain dengan cara mengganti Wallpaper Windows (lihat gambar 22) dengan file wallpaper yang di simpan di direktori  berikut dengan nama file acak [contoh:
C:\Documents and Settings\%user%\My Documents\Decrypt All Files cllpldb.bmp) serta sebuah file dengan TXT (Decrypt All Files cllpldb.txt).
20150123I_allaboutctb19
Gambar 22, Wallpaper desktop Windows yang akan di tampilkan oleh  CTB Locker
Salam,


A. J. Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: