Ransomware Odin, Sang Dewa Kematian bagi File

Posted in Virus Asing on Oct 18, 2016

odin

Menurut mitologi Norse (Viking), Odin adalah Dewa Perang atau Dewa Kematian, tak heran jika ransomware yang sedang hits September – Oktober 2016 ini memiliki codename Odin, karena yang dilakukan virus ransomware ini adalah mengenkripsi habis-habisan hampir setiap file / berkas kita yang tersimpan pada hard disk komputer, lebih-lebih berkas perkantoran (Word, Excel). Tentu menjadi sebuah mimpi buruk jika berkas keuangan nasabah misalnya, rusak dienkripsi oleh ransomware ini.

Teknik Penyebaran

ym

Berbeda dengan artikel sebelumnya, yang masih sama-sama tentang ransomware, Odin ini menyebar melalui lampiran EMail ter-zip, yang didalamnya berisi sebuah file .WSF (Windows Script File), bertindak sebagai downloader sekaligus launcher bagi Odin.DLL, sebut saja begitu, karena induk file Odin memiliki ekstensi .dll dan tersemat pada direktori / folder %temp%.

Beruntung sekarang pihak provider EMail, YMail, sudah memblokir konten bermuatan virus ransomware tersebut. Dapat dilihat pada gambar di atas.

Karakteristik WSF Odin

wsf-windows-script-file

Hampir sama dengan file VBS atau Macro dalam file Excel yang digunakan sebagai teknik downloader sekaligus launcher ransomware versi terdahulu, namun ada perbedaan dari syntax dan header-footer dari file WSF.

Header diawali dengan:

<?xml?>
<package>

Footer diakhiri dengan:

</package>

Sedangkan konten yang bisa berupa JS maupun VBS didefinisikan menggunakan:

<job id=’XXX’><script language=’JScript’><![CDATA[

header-footer

Tidak mudah seperti trik Macro terdahulu untuk menganalisa isi setiap baris perintah launcher si ransomware, kali ini selain enkripsi menggunakan pola pergeseran nilai dan perubahan nilai char lalu diparsing kembali, bahkan juga mengadopsi teknik seorang Hacker yang tidak ingin isi sourcecode Shell PHPnya diintip orang lain, tidak lain menggunakan Base64.

nugget-in-launcher-odin

Baris kode tersebut berfungsi sebagai pendownload induk Odin yang bertipe file / ekstensi .dll, sekaligus berfungsi sebagai launcher atau pemacu agar file .dll dengan parameter (qwerty) yang sudah ditentukan (oleh Programmer virus Ransomware) bisa aktif di komputer korban.

Setelah proses download selesai, disematkan ke folder %temp% Windows (misal: C:\Users\Smadav_Lab_BeKaBe\AppData\Local\Temp\gMyxcrBNhq2.dll) dengan nama yang sudah ditentukan, dipanggil dengan parameter yang sudah ditentukan, maka sebuah file .dll menjadi sangat berbahaya, dengan tugas mencari dan terus mencari serta mengenkripsi setiap menemukan file yang sudah menjadi daftar mangsanya, karena prosesnya yang tak nampak secara kasat mata pada Task/Process Manager, membuatnya susah untuk dilakukan kill process terhadap induk virus Odin.

Setiap file yang telah rusak terenkripsi oleh Odin, berubah nama menjadi .odin, ada ekstensi odin pada akhir nama-acak file.

Tempat Odin Bertahta
odin

Temporary folder sebagai tempat menyimpan induk virus yang sudah berhasil didownload oleh WSF (launcher).

Dan setelah berhasil menempatkan induk ransomware Odin ke singgasananya (%temp%), lagi-lagi WSF yang melakukan aksi selanjutnya, yakni membangunkan Sang Dewa Kematian (Odin) dari tidurnya, dengan parameter perintah (command param): qwerty
odin

Tak perlu menunggu lama setelah bangun dari tidur, Sang Dewa Kematian dengan kekuatannya, seketika menelusuri setiap folder untuk dilakukan enkripsi pada data yang ditemukan, dan diberi ekstensi .odin dibelakang nama data / file yang sudah direnam menjadi nama yang aneh, misal: UERAKHPY-Y5CE-DETE-1DBA-E5E3F82C7ABF.odin
odin
Berhati-hatilah selalu dalam berkomputer dan berinternet.

Ref:

  1. https://support.microsoft.com/en-us/kb/276488
  2. http://www.paulsadowski.com/wsh/GetRemoteBinaryFile.htm
  3. http://www.codeproject.com/Articles/17825/Reading-and-Writing-Binary-Files-Using-JScript
 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 02:06 pm

    daniel hailu: smadave flash antivires

    yadetageemechi: install antivirus

    clement ouedraogo: C'est vraiment le meilleur

    Bouba SISSOKO: Je vous remercie pour le service. Je voudrai que mon ordinateur soit protégé contre les objets malveillants.

    andrywahyuni: aku ingin yang lebih baik lagi

    aidan d. kimath: good

    nanda: bagus

    PALOMAN: LAFIA KODA WAHABOU

    LAFIA KODA WAHABOU: merci d'abord pour votre aide . Je voudrais bien que mon ordinateur soit protégé en toute sécurité contre n'importe quels virus...merci pour votre aimable compréhension

    Fihir Saranani,S.Si: Bersatu Kita Teguh Bercerai Kita Runtuh

    » Tuliskan komentar Anda :