Ransomware Odin, Sang Dewa Kematian bagi File

Posted in Virus Asing on Oct 18, 2016

odin

Menurut mitologi Norse (Viking), Odin adalah Dewa Perang atau Dewa Kematian, tak heran jika ransomware yang sedang hits September – Oktober 2016 ini memiliki codename Odin, karena yang dilakukan virus ransomware ini adalah mengenkripsi habis-habisan hampir setiap file / berkas kita yang tersimpan pada hard disk komputer, lebih-lebih berkas perkantoran (Word, Excel). Tentu menjadi sebuah mimpi buruk jika berkas keuangan nasabah misalnya, rusak dienkripsi oleh ransomware ini.

Teknik Penyebaran

ym

Berbeda dengan artikel sebelumnya, yang masih sama-sama tentang ransomware, Odin ini menyebar melalui lampiran EMail ter-zip, yang didalamnya berisi sebuah file .WSF (Windows Script File), bertindak sebagai downloader sekaligus launcher bagi Odin.DLL, sebut saja begitu, karena induk file Odin memiliki ekstensi .dll dan tersemat pada direktori / folder %temp%.

Beruntung sekarang pihak provider EMail, YMail, sudah memblokir konten bermuatan virus ransomware tersebut. Dapat dilihat pada gambar di atas.

Karakteristik WSF Odin

wsf-windows-script-file

Hampir sama dengan file VBS atau Macro dalam file Excel yang digunakan sebagai teknik downloader sekaligus launcher ransomware versi terdahulu, namun ada perbedaan dari syntax dan header-footer dari file WSF.

Header diawali dengan:

<?xml?>
<package>

Footer diakhiri dengan:

</package>

Sedangkan konten yang bisa berupa JS maupun VBS didefinisikan menggunakan:

<job id=’XXX’><script language=’JScript’><![CDATA[

header-footer

Tidak mudah seperti trik Macro terdahulu untuk menganalisa isi setiap baris perintah launcher si ransomware, kali ini selain enkripsi menggunakan pola pergeseran nilai dan perubahan nilai char lalu diparsing kembali, bahkan juga mengadopsi teknik seorang Hacker yang tidak ingin isi sourcecode Shell PHPnya diintip orang lain, tidak lain menggunakan Base64.

nugget-in-launcher-odin

Baris kode tersebut berfungsi sebagai pendownload induk Odin yang bertipe file / ekstensi .dll, sekaligus berfungsi sebagai launcher atau pemacu agar file .dll dengan parameter (qwerty) yang sudah ditentukan (oleh Programmer virus Ransomware) bisa aktif di komputer korban.

Setelah proses download selesai, disematkan ke folder %temp% Windows (misal: C:\Users\Smadav_Lab_BeKaBe\AppData\Local\Temp\gMyxcrBNhq2.dll) dengan nama yang sudah ditentukan, dipanggil dengan parameter yang sudah ditentukan, maka sebuah file .dll menjadi sangat berbahaya, dengan tugas mencari dan terus mencari serta mengenkripsi setiap menemukan file yang sudah menjadi daftar mangsanya, karena prosesnya yang tak nampak secara kasat mata pada Task/Process Manager, membuatnya susah untuk dilakukan kill process terhadap induk virus Odin.

Setiap file yang telah rusak terenkripsi oleh Odin, berubah nama menjadi .odin, ada ekstensi odin pada akhir nama-acak file.

Tempat Odin Bertahta
odin

Temporary folder sebagai tempat menyimpan induk virus yang sudah berhasil didownload oleh WSF (launcher).

Dan setelah berhasil menempatkan induk ransomware Odin ke singgasananya (%temp%), lagi-lagi WSF yang melakukan aksi selanjutnya, yakni membangunkan Sang Dewa Kematian (Odin) dari tidurnya, dengan parameter perintah (command param): qwerty
odin

Tak perlu menunggu lama setelah bangun dari tidur, Sang Dewa Kematian dengan kekuatannya, seketika menelusuri setiap folder untuk dilakukan enkripsi pada data yang ditemukan, dan diberi ekstensi .odin dibelakang nama data / file yang sudah direnam menjadi nama yang aneh, misal: UERAKHPY-Y5CE-DETE-1DBA-E5E3F82C7ABF.odin
odin
Berhati-hatilah selalu dalam berkomputer dan berinternet.

Ref:

  1. https://support.microsoft.com/en-us/kb/276488
  2. http://www.paulsadowski.com/wsh/GetRemoteBinaryFile.htm
  3. http://www.codeproject.com/Articles/17825/Reading-and-Writing-Binary-Files-Using-JScript
 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Wed, 11:55 am

    dauna yakubu: i need your protection

    zaim: nice

    christina marino: nice antivirus.. recommended to be use by most computer technicians

    sunday: good

    dathog: smadav le meilleur antivirus que je jamais connue

    soleil mata: DIEU EST SIMON KIMBANGU C-EST MA FOI

    kasiku akakulubelwa: 2017 smadav is strong and fights the viruses well

    blessing olatise: this working fine.

    lequuddin: wonderfull

    selamu: thans

    » Tuliskan komentar Anda :