Ransomware Odin, Sang Dewa Kematian bagi File

Posted in Virus Asing on Oct 18, 2016

odin

Menurut mitologi Norse (Viking), Odin adalah Dewa Perang atau Dewa Kematian, tak heran jika ransomware yang sedang hits September – Oktober 2016 ini memiliki codename Odin, karena yang dilakukan virus ransomware ini adalah mengenkripsi habis-habisan hampir setiap file / berkas kita yang tersimpan pada hard disk komputer, lebih-lebih berkas perkantoran (Word, Excel). Tentu menjadi sebuah mimpi buruk jika berkas keuangan nasabah misalnya, rusak dienkripsi oleh ransomware ini.

Teknik Penyebaran

ym

Berbeda dengan artikel sebelumnya, yang masih sama-sama tentang ransomware, Odin ini menyebar melalui lampiran EMail ter-zip, yang didalamnya berisi sebuah file .WSF (Windows Script File), bertindak sebagai downloader sekaligus launcher bagi Odin.DLL, sebut saja begitu, karena induk file Odin memiliki ekstensi .dll dan tersemat pada direktori / folder %temp%.

Beruntung sekarang pihak provider EMail, YMail, sudah memblokir konten bermuatan virus ransomware tersebut. Dapat dilihat pada gambar di atas.

Karakteristik WSF Odin

wsf-windows-script-file

Hampir sama dengan file VBS atau Macro dalam file Excel yang digunakan sebagai teknik downloader sekaligus launcher ransomware versi terdahulu, namun ada perbedaan dari syntax dan header-footer dari file WSF.

Header diawali dengan:

<?xml?>
<package>

Footer diakhiri dengan:

</package>

Sedangkan konten yang bisa berupa JS maupun VBS didefinisikan menggunakan:

<job id=’XXX’><script language=’JScript’><![CDATA[

header-footer

Tidak mudah seperti trik Macro terdahulu untuk menganalisa isi setiap baris perintah launcher si ransomware, kali ini selain enkripsi menggunakan pola pergeseran nilai dan perubahan nilai char lalu diparsing kembali, bahkan juga mengadopsi teknik seorang Hacker yang tidak ingin isi sourcecode Shell PHPnya diintip orang lain, tidak lain menggunakan Base64.

nugget-in-launcher-odin

Baris kode tersebut berfungsi sebagai pendownload induk Odin yang bertipe file / ekstensi .dll, sekaligus berfungsi sebagai launcher atau pemacu agar file .dll dengan parameter (qwerty) yang sudah ditentukan (oleh Programmer virus Ransomware) bisa aktif di komputer korban.

Setelah proses download selesai, disematkan ke folder %temp% Windows (misal: C:\Users\Smadav_Lab_BeKaBe\AppData\Local\Temp\gMyxcrBNhq2.dll) dengan nama yang sudah ditentukan, dipanggil dengan parameter yang sudah ditentukan, maka sebuah file .dll menjadi sangat berbahaya, dengan tugas mencari dan terus mencari serta mengenkripsi setiap menemukan file yang sudah menjadi daftar mangsanya, karena prosesnya yang tak nampak secara kasat mata pada Task/Process Manager, membuatnya susah untuk dilakukan kill process terhadap induk virus Odin.

Setiap file yang telah rusak terenkripsi oleh Odin, berubah nama menjadi .odin, ada ekstensi odin pada akhir nama-acak file.

Tempat Odin Bertahta
odin

Temporary folder sebagai tempat menyimpan induk virus yang sudah berhasil didownload oleh WSF (launcher).

Dan setelah berhasil menempatkan induk ransomware Odin ke singgasananya (%temp%), lagi-lagi WSF yang melakukan aksi selanjutnya, yakni membangunkan Sang Dewa Kematian (Odin) dari tidurnya, dengan parameter perintah (command param): qwerty
odin

Tak perlu menunggu lama setelah bangun dari tidur, Sang Dewa Kematian dengan kekuatannya, seketika menelusuri setiap folder untuk dilakukan enkripsi pada data yang ditemukan, dan diberi ekstensi .odin dibelakang nama data / file yang sudah direnam menjadi nama yang aneh, misal: UERAKHPY-Y5CE-DETE-1DBA-E5E3F82C7ABF.odin
odin
Berhati-hatilah selalu dalam berkomputer dan berinternet.

Ref:

  1. https://support.microsoft.com/en-us/kb/276488
  2. http://www.paulsadowski.com/wsh/GetRemoteBinaryFile.htm
  3. http://www.codeproject.com/Articles/17825/Reading-and-Writing-Binary-Files-Using-JScript
 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Mon, 12:16 am

    Mimose Desir: Je suis contente d'avoir cette nouvelle version

    Burlington coupons: Great product! Fast shipping! Thanks. Burlington coupons http://www.burlingtoncoatcoupons.com

    titus: good one

    titus: good

    ochitiga muzamil: perfect one

    djkaybee: good one

    okochi emmanuel: perfect service

    Asmawi: Ingin yang terbaik

    carolyn: very good

    mubarak rabiu: good experiance

    » Tuliskan komentar Anda :