Cerber3 – Ransomware yang Haus dan Lapar Data

Posted in Antivirus, Virus Asing on Sep 23, 2016

cerber3wallpaper

Beberapa bulan lalu, Ransomware beredar melalui Spam EMail dari seorang yang tidak kita kenal, yang dilampiri berkas dokumen berisi kode Macro sebagai Virus Launcher. Pekan ini, Ransomware dengan nama panggilan Cerber3 beredar melalui aplikasi lain yang ia hinggapi, contoh yang akan dibahas kali ini yakni software / aplikasi yang bernama Ammy Admin, sejenis RAT (Remote Admin Tool) yang berfungsi untuk mengendalikan komputer jarak jauh, misal komputer server yang berada di  kantor. Namun kita tidak membahas tentang RAT, melainkan tentang ancaman Cerber3 sebagai pemalak file di September 2016 ini.

Diduga, penyebaran Cerber3 selain dari server yang berhasil diretas oleh si pembuat virus, teknik penyebaran Cerber3 juga dari Crack Tool, EMail.

Karakteristik Virus

Ammy Admin
Virus atau Ransomware ini berada di dalam binary Ammyy Admin, menyamar sebagai bagian dari komponen setup Ammyy Admin selayaknya setup / installer dari NSIS.

Saat AA (Ammyy Admin) dijalankan, file dengan nama encrypted.exe akan terekstrak ke folder %temp%, yang mana file atau program yang barusan terekstrak tersebut adalah induk dari Cerber3.

NSIS

Namun bukan berarti Ammyy Admin adalah program jahat, atau bukan maksud kami menjelek-jelekkan suatu merk, melainkan dalam kasus ini AA menjadi korban dari kejahatan Cerber3. Hal ini bisa terjadi karena kemungkinan server Ammy Admin telah diretas oleh si Hacker pembuat Cerber3, dan karenanya disisipkanlah Cerber3 ke dalam setup Ammyy Admin oleh si Peretas.

Aksi Virus

Setelah berhasil menanamkan diri di komputer korban, Cerber3 membagi komponen dari dirinya ke beberapa direktori berbeda.

Temp Path Of Encrypted Cerber3

Lokasi mengekstrak file virus:

  1. Temp: Dikrektori induk virus dengan nama file “encrypted.exe“, dengan Installer: Nullsoft Scriptable Install System(3.0b0)[lzma], Linker: Microsoft Linker(6.0)[EXE32], dan Overlay: NSIS data(-)[-]
  2. nsf1F8E.tmp: Direktori temp (sementara) untuk mengekstrak komponen pendukungnya dengan nama file “System.dll“, dengan Linker: Microsoft Linker(6.0)[DLL32].
  3. Roaming: Direktori untuk mengekstrak komponen pendukungnya dengan nama file “Crypto.dll“, dengan Compiler: Microsoft Visual C/C++(2003)[libcmt], dan Linker: Microsoft Linker(7.10)[DLL32]

 

cerber3wallpaper

Setelah berhasil menjalankan semua aksi utama Cerber3 di komputer korban, Cerber3 akan mengganti gambar Wallpaper pada Desktop korban seperti gambar di atas.

Mengenkrip File di Removable DiskHard Disk Internal dan di Local Network (Jaringan Lokal)

Mengenkrip File Di Removeable Disk

Pada gambar terlihat aksi virus yang mencoba mengenkripsi file .docx dan .xlsx yang ada pada flashdisk (removable disk).

Dekrip File di HD

Mengenkrip file yang ada di Hard Disk Internal, pada direktori C:\ atau pada direktori tempat sistem operasi ditanamkan.

Dapat Anda lihat ada file bertipe / ekstensi “.cerber3”, misal “NX7EYvUJKB.cerber3”. Itu adalah file yang telah terdekrip oleh Cerber3.

File yang telah terdekrip tidak menutup kemungkinan untuk didekrip lagi oleh si Cerber3, 2 atau 3 kali dekrip, sehingga, proses dekrip oleh Cerber3 yang seharusnya hanya pada bagian Footer saja dari Metadata file / EOF (End Of File) / EOL (End Of Line), bisa berubah menjadi AOF (All Of File) / AOL (All Of Line) dari Metadata file.

Adapun yang menjadi landasan asumsi Cerber3 mengenkripsi bagian Footer Metadata sebuah file adalah karena:

  1. Saat Cerber3 mengenkripsi file salah satu file JPG, yang rusak hanya pada bagian bawah gambar. (Tidak sempat mengumpulkan sampel)
  2. Saat Cerber3 mengenkripsi file video MP4 dengan ukuran file 1,15 GB (1.236.142.770 bytes), file video masih bisa buka dengan Video Player dan menunjukkan informasi dari durasi / lamanya video tersebut, seperti saat video belum dienkripsi Cerber3. (Tidak sempat mengumpulkan sampel)
  3. Saat Cerber3 mengenkripsi file salah satu file TXT, yang rusak hanya pada bagian bawah file (EOL). Berikut sampelnya:
    A. File yang aslinya: http://broodmother.com/Upload/riyan/092016/cerber3/compare/license-ori.txt
    B. File yang telah dienkripsi Cerber3http://broodmother.com/Upload/riyan/092016/cerber3/compare/license-XXZNt9ZV-3.cerber3.txt

 

Dekrip di Local Network

Mencoba mencari file yang ada di Jaringan Lokal (Local Network) untuk didekrip.

Adapun beberapa tipe / ekstensi file yang menjadi santapan empuk Cerber3 berdasarkan analisa di Lab. kami adalah sebagai berikut:

doc / dox; xls / xlsx; jpg; pdf; mdf; mui; ppt; one; rtf; h; cpp; xlsm; prf; rar; txt; xlm; js; idx; ldf; mp3; obj; php; sav; wav; c; db3; svg; dat; gif; hpp; ogg; pdb; png; vhd; py; djvu; jar; apk; db

3files

Setiap file yang ada di direktori berhasil dienkripsi, akan diberi 3 file pesan-pesan dari si pembuat virus:

  1. # HELP DECRYPT #.html
  2. # HELP DECRYPT #.txt
  3. # HELP DECRYPT #.url

atau

  1. @___README___@.html
  2. @___README___@.txt
  3. @___README___@.url

File HTML berisi sebuah halaman (web) tentang petunjuk jika ingin mendapatkan kembali file korban. Dapat Anda lihat di : http://broodmother.com/Upload/riyan/092016/cerber3/compare/@___README___@.html

File TXT juga berisi yang kurang lebih sama dengan file HTML. Dapat Anda lihat di : http://broodmother.com/Upload/riyan/092016/cerber3/compare/@___README___@.txt

Dan file TXT berisi alamat server virus di internet. Dapat Anda lihat di : http://broodmother.com/Upload/riyan/092016/cerber3/compare/@___README___@.url

Catatan: File HTML tersebut bisa mengupdate alamat baru terkait server pendekrip file yang sudah disediakan oleh si pembuat Cerber3, dengan API menuju server penyedia informasi lalulintas BitCoinhttp://btc.blockr.io/api/v1/address/txs/17gd1msp5FnMcEMF1MitTNSsYs7w7AQyCt?_=1474748649329

Tren Virus / Ransomware Cerber3 di September 2016

Anda dapat melihat bagaimana perkembangan ‘tren’ (wabah virus komputer) Cerber3 di media internet, salah satunya Facebook: https://www.facebook.com/search/top/?q=cerber3+ransomware

Penyembuh / Dekriptor Cerber3

Sampai tulisan ini dimuat, belum ditemukan tool / aplikasi untuk mendekrip kembali file yang sudah dilahap oleh Cerber3 yang lapar akan data (file) itu, kecuali dengan menggunakan situs web yang sudah disediakan oleh si pembuat virus tersebut.

Saran

Pastikan untuk mengupdate database virus dari Antivirus yang terpasang di komputer Anda.

 

13 Responses to “Cerber3 – Ransomware yang Haus dan Lapar Data”


  1. Anonymous says:

    THE BEST ANTI VIRUS

     
  2. ARDHY says:

    Laptop ane kena cerber3. frustasi ane X_x

     
  3. Cerber Virus says:

    How to decrypt? Decryptor Cerber3 and cerber4 Tools free download HERE and HERE

     
  4. kaoser says:

    goooooooooooood

     
  5. Saya sekarang lagi di tugasin untuk mengembalikan file yang ter enkrip. Malware nya udah nyebar parah. Sampe ke folder dropbox yang tadinya di lokal, langsung update juga ke server dropbox, alhasil data belum ada yang di amankan..

     
  6. accunik.com says:

    wah, bahaya benar virus satu ini memang.

     
  7. ihsanmus says:

    laptop saya juga kenna gan, solusinya gimana yah ?? mohon dibantu

     
  8. shokomupazi says:

    smadav is the software which unhide documents. you will recover your documents after cleaning

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 02:06 pm

    daniel hailu: smadave flash antivires

    yadetageemechi: install antivirus

    clement ouedraogo: C'est vraiment le meilleur

    Bouba SISSOKO: Je vous remercie pour le service. Je voudrai que mon ordinateur soit protégé contre les objets malveillants.

    andrywahyuni: aku ingin yang lebih baik lagi

    aidan d. kimath: good

    nanda: bagus

    PALOMAN: LAFIA KODA WAHABOU

    LAFIA KODA WAHABOU: merci d'abord pour votre aide . Je voudrais bien que mon ordinateur soit protégé en toute sécurité contre n'importe quels virus...merci pour votre aimable compréhension

    Fihir Saranani,S.Si: Bersatu Kita Teguh Bercerai Kita Runtuh

    » Tuliskan komentar Anda :