Ransomware, Penyebaran via Flahsdisk

Posted in internet, Virus Asing on Jun 07, 2016

RansomwareFD

Zcrypt, jika Ransomware versi sebelumnya Ransomware – VBA Downloader masih menggunakan EMail dan file dokumen sebagai starter penyebaran virus, varian Ransomware kali ini menyebar melalui flashdisk. Mungkin karena dianggap oleh sang pembuat virus ini bahwa penyebaran via EMail terlalu riskan, mengingat vendor EMail bekerjasama dengan vendor antivirus untuk menyaring setiap EMail yang masuk, maka Ransomware berubah haluan dari segi penyebaran diri.

Karakteristik Virus

Ukuran file: 791 KB (809.984 bytes)

Dibuat menggunakan: MS Visual C++

SHA256: bc557a7bfec430aab3a1b326f35c8d6c1d2de0532263df872b2280af65f32b8f

Nama file: zcrypt.exe

Fungsi OpenSSL: Diffie-Hellman routines

Aksi Virus

Seperti kebanyakan dan memang misi wajib varian Ransomware sebelumnya, versi kali ini masih sama, yakni misi meng-encrypt data korban dan meminta tebusan agar data korban bisa di-decrypt atau dipulihkan kembali.

Membuat Registry pada path dimana dia dijalankan:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zcrypt = {path dimana virus dijalankan}

RegeditRansomwareFD

Membuat shortcut pada Startup:

  • %User Startup%\zcrypt.lnk

RansomwareFD Startup lnk

Membuat salinan virus pada flashdisk:

  • {Lokasi flashdisk}:\System.exe -> atribut file: Hidden

Membuat salinan virus pada Appdata:

  • {%Appdata%\Roaming}\cid.ztxt -> isi file: a5cf36b21ef16d97c68c8ad502031ab9
  • {%Appdata%\Roaming}\public.key -> isi file: —–BEGIN PUBLIC KEY—–MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwh430x9583epiq7wzMGuNWEK4/dIUdAl4se8qQ0N+E0c02/bWwANhsvZMKtToRveUpSS97S6nufkU1s+QcyoEuiTUpAlK/AV4
    shnsJChPflKzyieMF1J4SszzkjkUHTluyXLGAvX8WjKOCDhs+uxXNPcJyO8KnYL6IKjuympawtfiLTyvpdE6mW5rCN/08UeUs3MYTV2HmkDtKLXWes67cGLFYjFmR4NBe12GKDzMxQ5di07AHvzdWWCnGqeNJKdz4XFBb/uTrCleZTnasy4MSco/VYaL9T81kkxy+djRSwRlcDcPxKi4HYwvh2CQb7zBpyjSxOl3sWzsZ8C2GB+KwIDAQAB—–END PUBLIC KEY—–
  • {%Appdata%\Roaming}\system.exe -> induk virus

RansomwareFD Roaming

Merubah nama setiap file yang telah dienkripsi:

  • {nama file}.zcrypt

Kalau kemarin varian Ransomwarenya mengakses situs website indukan untuk mengupdate diri, kali ini Ransomware mengakses situs website berikut:

  • HTTP:// stop-block.org/wpad.dat?660f32a117d9216a1cfe6c31f8035eec6442474
  • User-Agent: Mozilla/5.0 (compatible; IE 11.0; Win32; Trident/7.0)

Cara Membersihkan Virus Ransomware

Memang versi Smadav terbaru saat ini, Smadav 10.7 >> 2 Juni 2016, secara teknis belum memiliki database virus Ransomware versi ini, namun dengan teknik pendeteksian (Behaviour/Heuristic Detection) Smadav, virus Ransomware ini bisa dilumpuhkan dari komputer korban.

Silakan download Smadav 2016 Rev. 10.7 di: http://smadav.net/

 

Perhatian!

Untuk file yang rusak atau terenkripsi akibat ulah Ransomware ini, belum diketahui cara memulihkan filenya.

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Tue, 10:38 am

    AF: virus HOUDINI.LNK hanya bisa QUARANTINE, tapi belum bisa di CLEAN.. menyebabkan file dan folder di dalam FD mjd hidden.. sample virus telah sy upload, mohon [...]

    Kemal Abdi: Good antivirus

    Azis: @ samuel suak, if you want to update the newest Smadav revision, you will do redownloading it on the http://www.smadav.net/?lang=en.

    S.ADITHYAN: nice

    dj killler osu: Action

    samuel suak: to updates Smadav Antivirus 2017

    samuel suak: to updates the Antiviriouse

    ASTOU DIAKHATE: Thinks

    Penaburgaram: Nice!!!

    faisalmorreson: soperb

    » Tuliskan komentar Anda :