Thor, Ransomware Keturunan Dewa Odin

Posted in internet, Virus Asing on Oct 27, 2016

thorda78axt

Masih satu keluarga dengan Odin (ransomware). Jika Odin menggunakan WSF sebagai downloader + launcher, Thor menggunakan VBS sebagai downloader dan launchernya.

Script VBS Downloader + Launcher Thor

script-thor-vbs

Pada gambar Script VBS Thor di atas (enkripsi mode char), terlihat Thor memiliki sebanyak 5 buah “Asgard” (server induk virus) yang berbeda-beda:

1. http://cpugame.com/r3octl

2. http://chuvafeatherstone.com/rve6j

3. http://ciscscout.net/rvkbiv3t

4. http://roweliced.net/a1f8yb

5. http://sheatcatan.com/awcdu3

Kita tidak bisa menyimpulkan bahwa ke-5 server tersebut adalah milik Programmer virus Thor, karena bisa saja itu hanyalah web penitipan induk virus, yang mereka kuasai dari hasil Hacking Website.

Setiap file yang didownload oleh script VBS Thor (induk virus, dicompile menggunakan Microsoft Linker 15.0 DLL32), diberi nama “ICfSY7eq“, dan diberi ekstensi “.dll” bericon “tanda seru” atau huruf “i” berwarna putih dan dikelilingi “warna biru” jika ekstensinya diganti menjadi “.exe”, namun bukan berarti file induk virus Thor ini berupa “EXE” sekaligus “DLL“, bukan! Namun (lagi), suatu hari mungkin hal ini bisa terjadi, sebuah file DLL (rundll32 as engine) adalah juga file EXE, atau sebaliknya.

thor-icon

Aksi Virus

Virus aktif jika dipanggil dengan parameter: EnhancedStoragePasswordConfig 147

thor-ransomware-work

Saat virus aktif, dia akan menghancurkan (enkripsi) apa (file) yang dilaluinya, bisa HTML; PHP; dan berbagai ekstensi file yang sudah diprogram padanya, dan diberi tanda .thor setelah file tersebut dienkripsi -> diberi penamaan khusus bahwa file telah dienkripsi -> .thor

thor-ransomware

thor-ransomware-extention

Untuk petunjuk penukaran file terenkripsi dengan file normal, virus Thor menyisipkan file “_10_WHAT_is.html” pada direktory yang sama dengan file-file yang kondisinya terenkripsi.

Berikut daftar nama file help yang dibuat oleh Ransom Thor:

_WHAT_is.html
_WHAT_is.html
_WHAT_is.bmp

_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Daftar File yang Diserang Thor

yuv; ycbcra; xis; wpd; tex; sxg; stx; srw; srf; sqlitedb; sqlite3; sqlite; sdf; sda; s3db; rwz; rwl; rdb; rat; raf; qby; qbx; qbw; qbr; qba; psafe3; plc; plus_muhd; pdd; oth; orf; odm; odf; nyf; nxl; nwb; nrw; nop; nef; ndd; myd; mrw; moneywell; mny; mmw; mfw; mef; mdc; lua; kpdx; kdc; kdbx; jpe; incpas; iiq; ibz; ibank; hbk; gry; grey; gray; fhd; ffd; exf; erf; erbsql; eml; dxg; drf; dng; dgc; des; der; ddrw; ddoc; dcs; db_journal; csl; csh; crw; craw; cib; cdrw; cdr6; cdr5; cdr4; cdr3; bpw; bgt; bdb; bay; bank; backupdb; backup; back; awg; apj; ait; agdl; ads; adb; acr; ach; accdt; accdr; accde; vmxf; vmsd; vhdx; vhd; vbox; stm; rvt; qcow; qed; pif; pdb; pab; ost; ogg; nvram; ndf; m2ts; log; hpp; hdd; groups; flvv; edb; dit; dat; cmt; bin; aiff; xlk; wad; tlg; say; sas7bdat; qbm; qbb; ptx; pfx; pef; pat; oil; odc; nsh; nsg; nsf; nsd; mos; indd; iif; fpx; fff; fdb; dtd; design; ddd; dcr; dac; cdx; cdf; blend; bkp; adp; act; xlr; xlam; xla; wps; tga; pspimage; pct; pcd; fxg; flac; eps; dxb; drw; dot; cpi; cls; cdr; arw; aac; thm; srt; save; safe; pwm; pages; obj; mlb; mbx; lit; laccdb; kwm; idx; html; flf; dxf; dwg; dds; csv; css; config; cfg; cer; asx; aspx; aoi; accdb; 7zip; xls; wab; rtf; prf; ppt; oab; msg; mapimail; jnt; doc; dbx; contact; mid; wma; flv; mkv; mov; avi; asf; mpeg; vob; mpg; wmv; fla; swf; wav; qcow2; vdi; vmdk; vmx; wallet; upk; sav; ltx; litesql; litemod; lbf; iwi; forge; das; d3dbsp; bsa; bik; asset; apk; gpg; aes; ARC; PAQ; tar.bz2; tbk; bak; tar; tgz; rar; zip; djv; djvu; svg; bmp; png; gif; raw; cgm; jpeg; jpg; tif; tiff; NEF; psd; cmd; bat; class; jar; java; asp; brd; sch; dch; dip; vbs; asm; pas; cpp; php; ldf; mdf; ibd; MYI; MYD; frm; odb; dbf; mdb; sql; SQLITEDB; SQLITE3; pst; onetoc2; asc; lay6; lay; ms11 (Security copy); sldm; sldx; ppsm; ppsx; ppam; docb; mml; sxm; otg; odg; uop; potx; potm; pptx; pptm; std; sxd; pot; pps; sti; sxi; otp; odp; wks; xltx; xltm; xlsx; xlsm; xlsb; slk; xlw; xlt; xlm; xlc; dif; stc; sxc; ots; ods; hwp; dotm; dotx; docm; docx; DOT; max; xml; txt; CSV; uot; RTF; pdf; XLS; PPT; stw; sxw; ott; odt; DOC; pem; csr; crt; key

Pencegahan Virus Ransomware

Meski Smadav belum bisa mendeteksi file induk virus Thor, maupun variant lainnya dari virus Ransomware, Smadav sudah sejak dari beberapa revisi sebelumnya menyematkan Tameng Anti Ransomware, yang dapat diatur dengan cara mengklik Tray Icon Smadav yang ada di pojok dekat jam untuk menonaktifkan atau mengaktifkannya.

disable-wscript

 

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Sun, 05:55 pm

    brightchilax: the antivirus is very good one.

    Azis: @mwesige james, You can download the newest version on the official website http://www.smadav.net/?lang=en .

    mwesige james: i like SMADAV because its very fuctional please allow me to download it

    lawrence: good

    mwesige james: i need new version 2017 because it work well

    Albert Kavanamur: thankyou very much for this, very trusting and reliable. thanks alot

    leiex: this is super

    Enos Maclain: I LIKE SMADAV

    nafiu aliyu: goooddd

    BAMILE FRANCIS: so far so good long live smadav

    » Tuliskan komentar Anda :