Ransomware, Penyebaran via Flahsdisk

Posted in internet, Virus Asing on Jun 07, 2016

RansomwareFD

Zcrypt, jika Ransomware versi sebelumnya Ransomware – VBA Downloader masih menggunakan EMail dan file dokumen sebagai starter penyebaran virus, varian Ransomware kali ini menyebar melalui flashdisk. Mungkin karena dianggap oleh sang pembuat virus ini bahwa penyebaran via EMail terlalu riskan, mengingat vendor EMail bekerjasama dengan vendor antivirus untuk menyaring setiap EMail yang masuk, maka Ransomware berubah haluan dari segi penyebaran diri.

Karakteristik Virus

Ukuran file: 791 KB (809.984 bytes)

Dibuat menggunakan: MS Visual C++

SHA256: bc557a7bfec430aab3a1b326f35c8d6c1d2de0532263df872b2280af65f32b8f

Nama file: zcrypt.exe

Fungsi OpenSSL: Diffie-Hellman routines

Aksi Virus

Seperti kebanyakan dan memang misi wajib varian Ransomware sebelumnya, versi kali ini masih sama, yakni misi meng-encrypt data korban dan meminta tebusan agar data korban bisa di-decrypt atau dipulihkan kembali.

Membuat Registry pada path dimana dia dijalankan:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
zcrypt = {path dimana virus dijalankan}

RegeditRansomwareFD

Membuat shortcut pada Startup:

  • %User Startup%\zcrypt.lnk

RansomwareFD Startup lnk

Membuat salinan virus pada flashdisk:

  • {Lokasi flashdisk}:\System.exe -> atribut file: Hidden

Membuat salinan virus pada Appdata:

  • {%Appdata%\Roaming}\cid.ztxt -> isi file: a5cf36b21ef16d97c68c8ad502031ab9
  • {%Appdata%\Roaming}\public.key -> isi file: —–BEGIN PUBLIC KEY—–MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwh430x9583epiq7wzMGuNWEK4/dIUdAl4se8qQ0N+E0c02/bWwANhsvZMKtToRveUpSS97S6nufkU1s+QcyoEuiTUpAlK/AV4
    shnsJChPflKzyieMF1J4SszzkjkUHTluyXLGAvX8WjKOCDhs+uxXNPcJyO8KnYL6IKjuympawtfiLTyvpdE6mW5rCN/08UeUs3MYTV2HmkDtKLXWes67cGLFYjFmR4NBe12GKDzMxQ5di07AHvzdWWCnGqeNJKdz4XFBb/uTrCleZTnasy4MSco/VYaL9T81kkxy+djRSwRlcDcPxKi4HYwvh2CQb7zBpyjSxOl3sWzsZ8C2GB+KwIDAQAB—–END PUBLIC KEY—–
  • {%Appdata%\Roaming}\system.exe -> induk virus

RansomwareFD Roaming

Merubah nama setiap file yang telah dienkripsi:

  • {nama file}.zcrypt

Kalau kemarin varian Ransomwarenya mengakses situs website indukan untuk mengupdate diri, kali ini Ransomware mengakses situs website berikut:

  • HTTP:// stop-block.org/wpad.dat?660f32a117d9216a1cfe6c31f8035eec6442474
  • User-Agent: Mozilla/5.0 (compatible; IE 11.0; Win32; Trident/7.0)

Cara Membersihkan Virus Ransomware

Memang versi Smadav terbaru saat ini, Smadav 10.7 >> 2 Juni 2016, secara teknis belum memiliki database virus Ransomware versi ini, namun dengan teknik pendeteksian (Behaviour/Heuristic Detection) Smadav, virus Ransomware ini bisa dilumpuhkan dari komputer korban.

Silakan download Smadav 2016 Rev. 10.7 di: http://smadav.net/

 

Perhatian!

Untuk file yang rusak atau terenkripsi akibat ulah Ransomware ini, belum diketahui cara memulihkan filenya.

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 02:06 pm

    daniel hailu: smadave flash antivires

    yadetageemechi: install antivirus

    clement ouedraogo: C'est vraiment le meilleur

    Bouba SISSOKO: Je vous remercie pour le service. Je voudrai que mon ordinateur soit protégé contre les objets malveillants.

    andrywahyuni: aku ingin yang lebih baik lagi

    aidan d. kimath: good

    nanda: bagus

    PALOMAN: LAFIA KODA WAHABOU

    LAFIA KODA WAHABOU: merci d'abord pour votre aide . Je voudrais bien que mon ordinateur soit protégé en toute sécurité contre n'importe quels virus...merci pour votre aimable compréhension

    Fihir Saranani,S.Si: Bersatu Kita Teguh Bercerai Kita Runtuh

    » Tuliskan komentar Anda :