Ransomware, Penyebaran via Flahsdisk

Posted in internet, Virus Asing on Jun 07, 2016

RansomwareFD

Zcrypt, jika Ransomware versi sebelumnya Ransomware – VBA Downloader masih menggunakan EMail dan file dokumen sebagai starter penyebaran virus, varian Ransomware kali ini menyebar melalui flashdisk. Mungkin karena dianggap oleh sang pembuat virus ini bahwa penyebaran via EMail terlalu riskan, mengingat vendor EMail bekerjasama dengan vendor antivirus untuk menyaring setiap EMail yang masuk, maka Ransomware berubah haluan dari segi penyebaran diri.

Karakteristik Virus

Ukuran file: 791 KB (809.984 bytes)

Dibuat menggunakan: MS Visual C++

SHA256: bc557a7bfec430aab3a1b326f35c8d6c1d2de0532263df872b2280af65f32b8f

Nama file: zcrypt.exe

Fungsi OpenSSL: Diffie-Hellman routines

Aksi Virus

Seperti kebanyakan dan memang misi wajib varian Ransomware sebelumnya, versi kali ini masih sama, yakni misi meng-encrypt data korban dan meminta tebusan agar data korban bisa di-decrypt atau dipulihkan kembali.

Membuat Registry pada path dimana dia dijalankan:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zcrypt = {path dimana virus dijalankan}

RegeditRansomwareFD

Membuat shortcut pada Startup:

  • %User Startup%\zcrypt.lnk

RansomwareFD Startup lnk

Membuat salinan virus pada flashdisk:

  • {Lokasi flashdisk}:\System.exe -> atribut file: Hidden

Membuat salinan virus pada Appdata:

  • {%Appdata%\Roaming}\cid.ztxt -> isi file: a5cf36b21ef16d97c68c8ad502031ab9
  • {%Appdata%\Roaming}\public.key -> isi file: —–BEGIN PUBLIC KEY—–MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwh430x9583epiq7wzMGuNWEK4/dIUdAl4se8qQ0N+E0c02/bWwANhsvZMKtToRveUpSS97S6nufkU1s+QcyoEuiTUpAlK/AV4
    shnsJChPflKzyieMF1J4SszzkjkUHTluyXLGAvX8WjKOCDhs+uxXNPcJyO8KnYL6IKjuympawtfiLTyvpdE6mW5rCN/08UeUs3MYTV2HmkDtKLXWes67cGLFYjFmR4NBe12GKDzMxQ5di07AHvzdWWCnGqeNJKdz4XFBb/uTrCleZTnasy4MSco/VYaL9T81kkxy+djRSwRlcDcPxKi4HYwvh2CQb7zBpyjSxOl3sWzsZ8C2GB+KwIDAQAB—–END PUBLIC KEY—–
  • {%Appdata%\Roaming}\system.exe -> induk virus

RansomwareFD Roaming

Merubah nama setiap file yang telah dienkripsi:

  • {nama file}.zcrypt

Kalau kemarin varian Ransomwarenya mengakses situs website indukan untuk mengupdate diri, kali ini Ransomware mengakses situs website berikut:

  • HTTP:// stop-block.org/wpad.dat?660f32a117d9216a1cfe6c31f8035eec6442474
  • User-Agent: Mozilla/5.0 (compatible; IE 11.0; Win32; Trident/7.0)

Cara Membersihkan Virus Ransomware

Memang versi Smadav terbaru saat ini, Smadav 10.7 >> 2 Juni 2016, secara teknis belum memiliki database virus Ransomware versi ini, namun dengan teknik pendeteksian (Behaviour/Heuristic Detection) Smadav, virus Ransomware ini bisa dilumpuhkan dari komputer korban.

Silakan download Smadav 2016 Rev. 10.7 di: http://smadav.net/

 

Perhatian!

Untuk file yang rusak atau terenkripsi akibat ulah Ransomware ini, belum diketahui cara memulihkan filenya.

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Wed, 11:55 am

    dauna yakubu: i need your protection

    zaim: nice

    christina marino: nice antivirus.. recommended to be use by most computer technicians

    sunday: good

    dathog: smadav le meilleur antivirus que je jamais connue

    soleil mata: DIEU EST SIMON KIMBANGU C-EST MA FOI

    kasiku akakulubelwa: 2017 smadav is strong and fights the viruses well

    blessing olatise: this working fine.

    lequuddin: wonderfull

    selamu: thans

    » Tuliskan komentar Anda :