Ransomware, Penyebaran via Flahsdisk

Posted in internet, Virus Asing on Jun 07, 2016

RansomwareFD

Zcrypt, jika Ransomware versi sebelumnya Ransomware – VBA Downloader masih menggunakan EMail dan file dokumen sebagai starter penyebaran virus, varian Ransomware kali ini menyebar melalui flashdisk. Mungkin karena dianggap oleh sang pembuat virus ini bahwa penyebaran via EMail terlalu riskan, mengingat vendor EMail bekerjasama dengan vendor antivirus untuk menyaring setiap EMail yang masuk, maka Ransomware berubah haluan dari segi penyebaran diri.

Karakteristik Virus

Ukuran file: 791 KB (809.984 bytes)

Dibuat menggunakan: MS Visual C++

SHA256: bc557a7bfec430aab3a1b326f35c8d6c1d2de0532263df872b2280af65f32b8f

Nama file: zcrypt.exe

Fungsi OpenSSL: Diffie-Hellman routines

Aksi Virus

Seperti kebanyakan dan memang misi wajib varian Ransomware sebelumnya, versi kali ini masih sama, yakni misi meng-encrypt data korban dan meminta tebusan agar data korban bisa di-decrypt atau dipulihkan kembali.

Membuat Registry pada path dimana dia dijalankan:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zcrypt = {path dimana virus dijalankan}

RegeditRansomwareFD

Membuat shortcut pada Startup:

  • %User Startup%\zcrypt.lnk

RansomwareFD Startup lnk

Membuat salinan virus pada flashdisk:

  • {Lokasi flashdisk}:\System.exe -> atribut file: Hidden

Membuat salinan virus pada Appdata:

  • {%Appdata%\Roaming}\cid.ztxt -> isi file: a5cf36b21ef16d97c68c8ad502031ab9
  • {%Appdata%\Roaming}\public.key -> isi file: —–BEGIN PUBLIC KEY—–MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwh430x9583epiq7wzMGuNWEK4/dIUdAl4se8qQ0N+E0c02/bWwANhsvZMKtToRveUpSS97S6nufkU1s+QcyoEuiTUpAlK/AV4
    shnsJChPflKzyieMF1J4SszzkjkUHTluyXLGAvX8WjKOCDhs+uxXNPcJyO8KnYL6IKjuympawtfiLTyvpdE6mW5rCN/08UeUs3MYTV2HmkDtKLXWes67cGLFYjFmR4NBe12GKDzMxQ5di07AHvzdWWCnGqeNJKdz4XFBb/uTrCleZTnasy4MSco/VYaL9T81kkxy+djRSwRlcDcPxKi4HYwvh2CQb7zBpyjSxOl3sWzsZ8C2GB+KwIDAQAB—–END PUBLIC KEY—–
  • {%Appdata%\Roaming}\system.exe -> induk virus

RansomwareFD Roaming

Merubah nama setiap file yang telah dienkripsi:

  • {nama file}.zcrypt

Kalau kemarin varian Ransomwarenya mengakses situs website indukan untuk mengupdate diri, kali ini Ransomware mengakses situs website berikut:

  • HTTP:// stop-block.org/wpad.dat?660f32a117d9216a1cfe6c31f8035eec6442474
  • User-Agent: Mozilla/5.0 (compatible; IE 11.0; Win32; Trident/7.0)

Cara Membersihkan Virus Ransomware

Memang versi Smadav terbaru saat ini, Smadav 10.7 >> 2 Juni 2016, secara teknis belum memiliki database virus Ransomware versi ini, namun dengan teknik pendeteksian (Behaviour/Heuristic Detection) Smadav, virus Ransomware ini bisa dilumpuhkan dari komputer korban.

Silakan download Smadav 2016 Rev. 10.7 di: http://smadav.net/

 

Perhatian!

Untuk file yang rusak atau terenkripsi akibat ulah Ransomware ini, belum diketahui cara memulihkan filenya.

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 08:20 pm

    Azis: @ CEMEWEW, you can go to on http://www.konfirmasi.com/ fo asking to the Smadav Team.

    Azis: @Ransford Odumang, you can inform it to on Smadav email: Smadav@gmail.com.

    Ransford Odumang: I lost my licence key by formatting my pc , i want it back

    CEMEWEW: gan,, ane kna virus yg ngehidden file, tapi bukan virus shortcut, didalemnya ada folder 2 folder {2a40100f-de55-d1ca-1c90-ac00adec4c50} dan autorun.inf di dalem autorun.inf ada file protection for autorun, gimana tuh [...]

    Azis: @fajar, download lagi di http://www.smadav.net

    fajar: tolong mengapa komputer sayatidak bisa buat donwlod

    Azis: @evalyn kasivo, If you wanna get it, You go to on http://www.smadav.net/?lang=en to download it.

    evalyn kasivo: how can i get into this

    Bentshu maitele lincoln: GREAT

    Ricky: Sebagai catatan : Smadav adalah antivirus pelengkap.. dan sebagai antivirus pelengkap maka smadav sudah tergolong the best made in Indonesia free antivirus.. Saran saya gabungkan avast [...]

    » Tuliskan komentar Anda :